Para ello tenemos creado y abierto nuestro caso en el entorno de análisis forense X-Ways Forensics. Desde allí vamos al menú del caso y seleccionamos File – Add Medium

Esto nos despliega la vista de dispositivos y medios.

Para el ejemplo, seleccioné un dispositivo USB (Unidad H). Nos muestra la información de anexo al caso, sistema de archivos, capacidad, etc.

Si requerimos anexar una imagen ya creada en otro proceso de recolección de evidencia, solo basta con ir al menú file – Add Image

Desde allí buscamos la ruta donde está almacenada la imagen-evidencia (.dd, x01, whx, e01, .001)

Finalmente en nuestros datos del caso, veremos un listado similar al siguiente

Si quisieramos explorar el contenido de estas evidencias, podemos utilizar las diferentes vistas del entorno de análisis.

Toco este tema, debido a que a lo largo de mi carrera profesional e investigaciones relacionadas en la seguridad de la información, he realizado diferentes certificaciones y preparaciones formales en estos campos. Una de estas corresponde al título de este post.

Esta prestigiosa certificación y que muchos se atreven a nombrar como “Penetration Testing Pro: the CEH killer” es ofrecida por el equipo de eLearnSecurity en un completo paquete de entrenamiento + certificación. El objetivo a lo largo de esta exigente preparación es aprender trabajando de manera práctica en cada uno de sus módulos propuestos.

SECTION 1 WEB APPLICATION SECURITY TESTING
OVERVIEW

• Module 1: Introduction
• Module 2: Information Gathering
• Module 3: Vulnerability assessment
• Module 4: Cross site scripting
• Module 5: SQL Injection
• Module 6: Advanced Web Attacks

SECTION 2 NETWORK SECURITY TESTING
OVERVIEW

• Module 1: Information Gathering
• Module 2: Scanning
• Module 3: Enumeration
• Module 4: Sniffing and MITM attacks
• Module 5: The Exploitation show
• Module 6: Anonymity

SECTION 3 SYSTEM SECURITY
OVERVIEW

• Module 1: Introduction
• Module 2: Cryptography and Password Cracking
• Module 3: Buffer Overflow
• Module 4: Shellcoding
• Module 5: Malware
• Module 6: Rootkit coding

Los detalles del curso son:

• Online course—learn at your own pace
• 1000+ interactive slides
• Learn methodology, be a professional
• 4 hours of videos
• 3 authors—3 sections
• DVD Backtrack4 + Labs
• Silver Certification
• Qualifies you for 40 CPE

Un completo listado de las temáticas puede encontrarse en el documento Syllabus oficial.

Además de esto, en el web site The Ethical Network y en DarkNet han realizado unos completos reviews sobre el entrenamiento y la certificación, que puede ser de utilidad para quienes estén interesados en realizar este training.

Por este mismo medio estaré publicando mis experiencias, alguna parte del material de entrenamiento (videos, ppts, entornos, sources) y algunos de los ejercicios propuestos, con el objetivo de encontrar otras opiniones, sugerencias y compartir con quienes quieran parte de este valioso recurso y estén proyectando realizarlo de manera oficial.

Web oficial (Entrenamiento + Certificación) eLearnSecurity

Demo Training

Review (DarkNet)

Review (The Ethical Hacker Network)

Por ahora comienzo con estos, sé que me faltan muchos más, por ello si conoces de otros eventos que estén relacionados con la seguridad de la información, no dudes en enviarlos por medio de los comentarios, para ir sumando a la lista!!

• Blackhat www.blackhat.com
• bruCON www.brucon.org
• BugCon www.bugcon.org
• DEFCON www.defcon.org
• CanSecWest cansecwest.com
• Chaos Communication Congress events.ccc.de/congress
• ChicagoCon www.chicagocon.com
• ConFidence www.confidence.org.pl
• Congreso Hacking Etico en Colombia http://congresohackingetico.com
  
• Dnscon www.dnscon.org
• EISI eisi.umanizales.edu.co
• ekoparty www.ekoparty.org
• H2HC www.h2hc.org.br
• HackerHalted www.hackerhalted.com
• Hacking At Random www.har2009.org
• Hackinthebox http://conference.hackinthebox.org
• HOPE www.thenexthope.org
• Notacon www.notacon.org
• Nullcon www.nullcon.net
• Phreaknic www.phreaknic.info
• /Rooted CON www.rootedcon.es
• SeCurInF securinf.com
• RSA Conference www.rsaconference.com
• SEC-T www.sec-t.org
• Shakacon www.shakacon.org
• ShmooCon www.shmoocon.org
• Summercon www.summercon.org
• thotcon www.thotcon.org
• Toorcon www.toorcon.org
• Virus Bulletin Conference www.virusbtn.com
• x25sec http://x25sec.ccat.edu.mx
• You Sh0t the Sheriff http://ysts.org

Dejo la propia descripción de este y aprovecho para darle mis más sinceros saludos y felicitaciones a nuestro amigo y próximo padre!!!

<hackplayers>

Descifra el Mensaje del Bebé Llorón

Este año estoy dedicando muchas tardes de verano a mirar revistas, leer libros y buscar en Internet cualquier cosa relacionada con el parto y el cuidado del recién nacido. Estamos deseando que nazca nuestro bebé y para los papás primerizos todo es nuevo y está por aprender.

Sirva de ejemplo y práctica el bebé de la foto. Como veis no deja de llorar, quiere decirnos algo pero no puedo entenderlo. ¿Me ayudáis a descifrar el mensaje del bebé llorón?

Analiza la imagen y mándanos el texto oculto junto con el procedimiento seguido para obtenerlo.

¡Quién sabe, quizás serías un perfecto canguro!

</hackplayers>

Invitados entonces a participar…

Para una mejor relación de pruebas y análisis de datos podemos usar X-Ways Forensics como sistema de almacenamiento y enlace a dichos archivos fotográficos. Veamos entonces como podemos adjuntarlos a nuestro caso.

Desde el menu de X-Ways y situados en los datos de nuestro caso, vamos a File / Add File

Seleccionamos la fotografía a adjuntar. Una vez seleccionada nos encontramos con una imagen similar a la siguiente, en la cual se detallan algunos datos de la imagen (nombre, tamaño, fecha de creación, acceso), y un campo para la inclusión de comentarios que nos puedan servir como referencia en el caso.

Cuando ingremos los comentarios (opcionales), podemos generar una firma criptográfica (MD5, SHA1, PSCHF) correspondiente a la fotografía.

Una vez finalizados estos pasos, podríamos visualizar en cualquier momento la imagen adjunta, sin el riesgo de alterarla y con el objetivo de anexarla a nuestro reporte final.

Desde el editor de registro de windows (Regedit)

Vamos a HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Control

Ahora clic derecho Nueva Clave

Y creamos una nueva clave con el nombre de StorageDevicePolicies

En el panel derecho vamos a crear un nuevo valor DWORD

Ahora, para proteger contra escritura los dispositivos que se conecten, basta con asignarle dicho valor a 1 (uno). Para desactivar la protección asignamos 0 (cero).

Si quisieramos automatizar dicho procedimiento, solo basta con exportar la clave que generamos.

Podemos crear ambos estados (Protección ON – OFF) para facilitar la tarea.

El contenido de cada .reg debe ser similar al de la imagen

Por lo tanto, si requerimos activar la protección contra escritura de un dispositivo USB, solo tenemos que hacer doble click en la llave con el valor 1. Y si trataramos de escribir de alguna manera en dicho dispositivo, nos encontramos con la siguiente advertencia.

Vuelvo y repito que la intención de esta serie de post no es ofrecer el solucionario según los requerimientos exigidos por los desarrolladores del Reto. El objetivo de estos post es simplemente generar un espacio de discusión sobre los aportes que se realicen en pro de realizar de la mejor manera el análisis forense digital de dicho esceneario propuesto.

Por lo tanto vamos entonces a realizar la recolección de datos volátiles y la preservación de la evidencia (Procesos más importantes en todo Análisis Forense Digital)

La idea es que yo proponga un método o técnica y los lectores sugieran otras o aprueben las aquí nombradas

Como primera medida y según el escenario propuesto, tenemos que meternos en el papel de analistas forenses, y que recién hemos llegado a la escena del crimen… En esta escena nos encontramos frente a un computador desde el cual se sospecha que se realizan actividades ilícitas relacionadas con ciber acoso y pedofília.

Apagar o no apagar?… Por mi parte sugiero se realice un volcado de memoria, con el objetivo de recolectar información volátil y alojada en memoria, la cual nos permitirá obtener datos de alta importancia y que son altamente volátiles si no se realiza el proceso de volcado antes de reiniciar o apagar el equipo… Veamos:

Conectaré un dispositivo de almacenamiento USB con el objetivo de ejecutar la herramienta FTK Imager y realizar un volcado de memoria.

Sistema en el momento que llegamos:

Conexión del dispositivo de almacenamiento por USB

FTK Imager (Versión Portable)

Instrucción para el volcado de memoria

Información de los datos a exportar

Proceso de volcado de memoria en ejecución

Extracción finalizada

Una vez recolectado el volcado de memoria procedemos a generar las firmas digitales de este archivo (El proceso de generación de firmas se realizó desde otro equipo, una vez se realizaron todas las copias.

Comprimido con 7zip:

Nombre: memdump.7z
CRC-32: e75fc430
MD4: 0e94aaef831bdd5759e02367c9721d6d
MD5: f5eba1d486d14fd2251056d6621b651e
SHA-1: 292009c29d81787e756fa08e4c4ecef129b69d40

Descomprimido:

Nombre: memdump.txt
CRC-32: f4700625
MD4: c8b6b8a606c4f838e62962da3a9c6fa7
MD5: 0f3c8134fa401585cc7b74373013b9be
SHA-1: 2d15c79cfdac52bf96e860555ed3b6f452c5acd0

He subido una copia del volcado de memoria para quienes por diferentes motivos no puedan realizar el proceso anterior. (+/- 121Mb comprimido | +/-523Mb descomprimido)

Ahora nos corresponde realizar varias copias completas del sistema (Preservación de la evidencia – procedimiento obligatorio en peritajes informáticos)… Veamos:

En este caso para el disco C:\ – [NTFS]

Para este primer caso (Drive Lógico)

Drive fuente

Exportar imagen de disco

Tipo de imagen a el cual se desea exportar (en mi caso seleccioné DD)

Información referente al caso

Creando la imagen

Verificación automática de la integridad de los datos copiados

Si quisiéramos realizar un copiado de disco físico sería de igual manera, solo modificariamos el primer paso (por seguridad yo realicé ambos copiados)

Firmas digitales de integridad de los datos copiados

Nombre: disco_C_logico.001

CRC-32: 4c98664d
MD4: 9330d4583254e8a4d2a57e6a41c39adf
MD5: 249f5c1b47ad84862e35665b947a56d1
SHA-1: 890b17397a6c28362747bc310c42d4eeb4c38bae

En el próximo post mostraré como podemos recolectar información de interés y adicional sobre el sistema en ejecución.

Recuerden que este post solo tiene  como finalidad generar discusión y aportes relacionados a este tema… así que bienvenidos los comentarios.

Una vez recolectemos toda la información necesaria, podremos comenzar con el análisis de estos…

El video ha sido publicado por el equipo PoisonClub.com.ar

El video ha sido publicado por el equipo PoisonClub.com.ar

Entre uno de sus proyectos de investigación se encuentra el desarrollo de una distribución de GNU/Linux  basada en Ubuntu y enfocada al Análisis e Ingeniería Inversa de Malware.

REMnux se presenta entonces como un completo entorno de análisis de malware que puede ser incluido en nuestros laboratorios de investigación. Entre sus funcionalidades se encuentra la posibilidad de implementación de servicios en determinados puertos para simular el sistema que recibe algún tipo de instrucción o petición desde un equipo del laboratorio infectado.

Permite además realizar análisis de malware basado en aplicaciones web, como javascripts maliciosos, apps de java y películas en flash (animaciones maliciosas). También dispone de diferentes herramientas para el análisis en busca de documentos maliciosos como pueden ser los de Microsoft Office, OpenOffice y PDF’s. Algo que llama aun más la atención en la funcionalidad e realizar ejecuciones del malware en el propio REMnux y realizar volcados de memoria para su posterior análisis en el mismo sistema.

REMnux se distribuye como un archivo imagen de VMWare, por lo tanto solo basta descomprimir el archivo descargado y luego abrir con cualquiera de los productos de VMWare (WorkStation, Server, Player).

Entre las herramientas incluidas se encuentran las siguientes:
Análisis de Malware en Archivos Flash: swftools, flasm, flare.
Análisis de Boots IRC: Inspire, Irssi.
Monitoreo de red: Wireshark, Honeyd, INetSim, fakedns, fakesmtp, NetCat.
Análisis de JavaScripts: Firebug, NoScript, JavaScript Deobfuscator, Rhino debugger, SpiderMonkey, Windows Sript Decoder, Jsunpack-n.
Interacción con malware basado en web: TinyHTTPd, Paros Proxy.
Análisis de Shellcode: gdb, objdump, Radare, shellcode2.exe
Detección de protecciones y cifrados: upx, packerid, bytehist, xorsearch, TRiD.
Análisis de PDF maliciosos: Didier’s PDF tools, Origami framework, Jsunpack-n, pdftk.
Análisis de memoria: Volatility Framework

Dejo algunos screen shots del entorno REMnux.

Boot y pantalla de login:

User: remnux

Password: malware

X:

Tools:

Página oficial del proyecto REMnux

Descargar REMnux - MD5: dc28330411acafc6b7f595a11e8b7ea4