Este documento resume las principales acciones para analizar una imagen forense de un sistema comprometido utilizando Autopsy. Incluye la instalación de herramientas forenses como Sleuthkit y Autopsy, la creación de un caso en Autopsy cargando la imagen, el análisis de logs y archivos del sistema para identificar actividades sospechosas, y el análisis de herramientas maliciosas como xscan encontradas en la imagen.
1. Módulo: Seguridad Y Alta Disponibilidad
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
2. Módulo: Seguridad Y Alta Disponibilidad
Índice
1. Instalación de las herramientas.........................................................................................................3
2. Iniciación del programa....................................................................................................................4
3. Creación de un nuevo caso...............................................................................................................5
4. Analisis de las imagenes del sistema..............................................................................................13
5. Análisis de las herramientas del intruso.........................................................................................21
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
3. Módulo: Seguridad Y Alta Disponibilidad
1. Instalación de las herramientas.
• Instalacion de Sleuthkit
#apt-get install sleuthkit
• Instalacion de Autopsy
#apt-get install autopsy
2. Iniciación del programa
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
4. Módulo: Seguridad Y Alta Disponibilidad
En el navegador ponemos :
Creamos una carpeta y metemos hay la imagen y la descomprimimos.
Ahora con un simple comando descomprimiremos todos los ficheros gzip:
#for fichero in $(ls | grep v readme) ;do gzip d $fichero ;done
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
5. Módulo: Seguridad Y Alta Disponibilidad
3. Creación de un nuevo caso
Ahora pasaremos a montar la imagen mediante el dispositivo de loopback de forma
similar a como puede hacerse con una ISO.Pero primero deberemos tener claro el
sistema de ficheros utilizado en la partición.
# file honeypot.hda8.dd
honeypot.hda8.dd: Linux rev 1.0 ext2 filesystem data (mounted or
unclean)
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
6. Módulo: Seguridad Y Alta Disponibilidad
Ahora ya sabes cual es el sistema de ficheros utilizado.Lo montaremos para exarle un
vistazo.
Ahora averiguaremos el sistema operativo instalado:
Tambien podremos saber el nombre del hsot:
Ahora averiguaremos su direccion ip:
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
7. Módulo: Seguridad Y Alta Disponibilidad
Ahora crearemos el host mediante autopsy utilizando para ello los datos obtenidos y
pulsando para ello sobre el botón “Add Host”:
Los demas campos los dejaremos vacios y despues añadiremos images “Add image”.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
8. Módulo: Seguridad Y Alta Disponibilidad
Selecionamos add image file:
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
9. Módulo: Seguridad Y Alta Disponibilidad
• La primera opción necesita una ruta absoluta de la ubicación del fichero de
imagen.
• La segunda opción permite especificar si se trata de una imagen de disco
completo o solo de una partición.
• La tercera opción afecta al tratamiento del fichero de imagen. Con symlink se
creará un enlace simbólico en el directorio del caso y que apuntará a la
ubicación original para la imagen. Las otras opciones permiten mover allí el
fichero o tan solo copiarlo.
Una vez completado le damos a “ADD” y seguimos añadiendo el resto de images de la
misma manera.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
10. Módulo: Seguridad Y Alta Disponibilidad
4. Analisis de las imagenes del sistema.
Abrimos el caso creado,pulsamos “Open Case” y aparecera el primer caso y pulsamos sobre
“ok”,ahora aparecerá el host apollo.honeyp.edu y pulsaremos nuevamente sobre “OK”.
Vamos a comenzar a viendo lso ficheros log por lo que seleccionaremos /var como punto de
montaje y pulsamos “Analyze”.
En la parte superior pulsaremos sobre “File Analysis”.Despues pulsamos sobre el directorio
log para revisar los archivos.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
11. Módulo: Seguridad Y Alta Disponibilidad
Y cuando estemos en el directorio de log nos vamos al fichero secure, el cual contiene
información sobre accesos a la máquina y cuestiones relacionadas con la seguridad
del sistema.
Como resultado del análisis comprobaremos como las últimas conexiones al sistema se
realizaron a través de telnet.
Ahora selecionaremos /home como punto de montaje ypulsaremos “Analyze” y
posteriormente “File Analysis”.
Si analizamos su .bash_history, cuyo último cambio es de las 15:59:07 del 8 de noviembre
de 2000, observaremos como parece que realizó una instalación tras eliminar una serie de
ficheros.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
12. Módulo: Seguridad Y Alta Disponibilidad
Procederemos en este momento con el análisis de la partición / , para lo que mostraremos
todos los ficheros/directorios eliminados.
Como podemos ver algunos archivos temporale han sido eliminados.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
13. Módulo: Seguridad Y Alta Disponibilidad
Si accedemos a dicha característica pulsando sobre el botón “File Activity Timelines” y
siguiendo los pasos que se mencionan a continuación podremos generar una lista de sucesos
relacionados con la actividad sobre ficheros que aparecerán organizados en el tiempo.
Para ello primero pulsaremos sobre “Create Data File” y marcaremos todas las
imágenes.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
14. Módulo: Seguridad Y Alta Disponibilidad
Le damos a “OK”.
Ahora modificaremos únicamente las fechas de inicio y fin del intervalo de tiempo
abarcado (marcando “specify” para que estas sean tenidas en cuenta). En nuestro
caso servirán como ejemplo desde el 7 de noviembre de 2000 hasta el 1 de Enero de
2001 tras lo que pulsaremos sobre “OK”.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
15. Módulo: Seguridad Y Alta Disponibilidad
Pulsamos “OK” y accederemos a la visualizacion de la linea del tiempo.
5. Análisis de las herramientas del intruso
Primero montaremos la imagen correspondiente a /usr yobservaremos el contenido del
binario
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA
16. Módulo: Seguridad Y Alta Disponibilidad
Aparecen una serie de cadenas que parecen indicar que se trata de la herramienta
xscan. Se trata de un programa que analiza un host/subred que se le proporciona
como argumento en busca de servidores X desprotegidos. Si encuentra alguno
comienza a capturar todas las pulsaciones de teclas.
REALIZADO POR: ROSARIO HOMBRAO PEDREGOSA