SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT. SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics]

Transcription

1 SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics] Chef Atelier : Wissem BACHA (RT4) Wael EL HAJRI (RT3) Rim LAMOUCHI (RT4) Cheima BEN FRAJ (RT4) Amani HAMDI (RT4) 29/04/2012

2 Table des matières I. Présentation de l atelier :... 3 i Principes d investigation... 3 ii Présentation des outils et de l'atelier :... 4 II Présentation des outils utilisés :... 4 i. Volatility : (cas de live System )... 4 ii Autopsy : (cas de dead System )... 5 iii iphone Analyzer :... 5 III. Un scénario de test :... 6 i Analyse du RAM :... 6 ii Analyse du disque dur... 9 iii Analyse des smartphones :

3 I. Présentation de l atelier : Lors d un incident de sécurité au sein d un SI, il est nécessaire de comprendre le mode opératoire de l attaquant afin de retracer ses actions, mais également de pouvoir collecter assez de preuves pour pouvoir porter plainte. Pour cela, plusieurs techniques sont utilisées : Récupération de fichiers effacés Analyse des logs Analyse des fichiers infectés Analyse de la mémoire C est l art de découvrir et d extraire l information prouvant l occurrence d un crime informatique de telle façon à le rendre admissible dans le tribunal. Computer Forensics est une nouvelle science qui est apparue comme une réaction au crime informatique. Elle permet d appliquer la loi à l informatique, en employant les techniques d investigation pour identifier la cause origine d un crime informatique. Un crime informatique peut être une attaque, une intrusion ou toute activité malicieuse. i Principes d investigation Démarche générale Identifier la date de la compromission (T0) Reconstituer l activité du système depuis T0 Moyens disponibles Anomalies trouvées sur le système Log, accounting, données d audit Contrôle d intégrité Techniques d autopsie (fichiers effacés, analyse de binaires, etc ) Les préoccupations majeures La machine peut-être «piégée» Ne pas altérer les données du système Les principes retenus Capturer l état du système (préserver l existant) Analyser les données sur une machine tierce (poste d investigation) 3

4 ii Présentation des outils et de l'atelier : On va analyser un poste piraté,pour en extraire les traces du pirate, collecter les preuves pour comprendre les événements survenus, Identifier les altérations du système et Identifier l'attaquant et les motivations. L approche est différente selon que l on se trouve confronté à Un système fonctionnel («live system») => Analyse du RAM Un système non fonctionnel («deadsystem») => Analyse du disque dur La mémoire d un système d information se présente sous deux formes Volatile (RAM) Non volatile (Disque dur) L énumération des processus exécutés sur la machine ainsi que des connexions réseau ouvertes avant son extinction peut se révéler utile La capacité à identifier des processus suspects ou anormaux exige une compréhension complète des types de processus s'exécutant sur un système à un moment donné, ainsi que la façon dont ils devraient se comporter II Présentation des outils utilisés : Nous allons travailler sous SIFT WORKSTATION une distribution orienté Forensique disposant de tous les tools nécessaires à un bon technicien effectuant une analyse Disponible ici: i. Volatility : (cas de live System ) Volatility est une collection d'outils open source, développé en Python sous licence GNU, pour l'extraction d'informations suspectes de la mémoire volatile RAM dans le cadre d'une investigation numérique. Les techniques d'extraction sont effectuées complètement indépendant du système étudié, et elles offres une visibilité sur l'état d'exécution du système.. Les capacités de Volatility : extraction depuis les dumps mémoire : Les processus en cours Les sockets ouvertes Les connexions réseau actives. les DLL chargées pour chaque processus les fichiers ouverts pour chaque processus 4

5 ii Autopsy : (cas de dead System ) Autopsy est un outil qui permet : d analyser, entre autres, les systèmes de fichiers FAT et NTFS d analyser les disques et les partitions aux formats DOS, BSD,Sun et Mac de récupérer des données supprimées d établir une chronologie des accès MAC aux fichiers de trier les fichiers exitants et récupérés en fonction de leur clé MD5 ou SHA et de leur type Autopsy est une panoplie d outils forensiques destinés à l analyse d une machine compromise. Il fournit des outils très performants pour analyser une machine compromise. Dans ce qui suit, nous allons l utiliser pour affiner notre analyse et retrouver certaines traces moins évidentes laissées par le pirate. Autopsy appuie sa démarche de recherche sur le recoupement des événements temporels. Pour cela, il introduit la notion de MAC time, MAC étant l acronyme de Modification Access Creation. En effet, la connaissance de ces trois attributs d un fichier peut fournir des informations décisives sur l activité du pirate. Autopsy ajoute la détermination de l access time qui est impossible en passant par les appels système standards. Pour que cette détermination soit possible, le système de fichiers doit avoir été sauvegardé par une copie des partitions, comme le permet dd, et non par une commande d archivage ou de copie de fichiers qui altérerait l access time. iii iphone Analyzer : IPhone Analyzer est un projet en Java récemment apparu sur Sourceforge dont la mission est de simplifier l'exploration en interne de son propre iphone ou d'un appareil pouvant contenir des données exploitables pour les autorités. L'accès au contenu de l'iphone s'effectue par le biais de l'interface en Java de IPhone Analyzer via un fichier de sauvegarde iphone ou une connexion ssh pour les iphones avec jailbreak,en accédant à l icloud. IPhone Analyser simplifie l'accès aux fichiers plist, sqlite, hex permettant de visualiser directement le contenu du carnet d'adresses, ainsi que les SMS envoyés et reçus, peut afficher le texte récemment tapé ainsi que la localisation exacte du smarphone en fonction du temps en utilisant les coordonnées stockés par la puce GPS de l iphone 5

6 III. Un scénario de test : On va analyser un poste piraté par metasploit,on va analyser toutes les traces du l opération du piratage par l analyse du mémoire RAM,puis l analyse du disque dur. Enfin on va présenter l investigation des smartphones,on prendra l iphone comme exemple. Acquisition de l'image mémoire : Sous un environnement virtuel VMWare,en créant une capture instantanée de la machine, l'environnement crée un fichier d extension.vmem qui contient le contenu de la mémoire physique RAM,qu'on l'exploitera dans la suite de l'atelier i Analyse du RAM : On va analyser le contenu de ce dump mémoire par le framework volatility Structure : volatility [plugin] -f FichierDump.vmem -p PID connscan : Cette commande permet de détecter toutes les connexions distantes,par la suite on va détecter toute connexion distante suspecte. Si l'investigateur n'a aucune information sur l'identité du machine avec l'adresse ,alors elle sera suspecte et il va suivre toutes ses traces. Le processus exploité par le suspect a pour pid

7 pslist Cette commande permet de détecter tout les processus suspects et leurs date d'exécution dlllist : Cette commande permet de découvrir tout les fichiers DLL chargés par un processus suspect, cette commande est intéressante pour découvrir la manière avec laquelle le pirate a defectué le système Pour notre cas,on note que la connexion suspecte a pour PID 1156 sortie de commande connscan" Le Meterpreter est un outil d intrusion ( tout en mémoire ) distribué comme payload depuis la version 2.2 de Metasploit. Le principe est d injecter une librairie (une DLL sous Windows) dans la mémoire du processus exploité, sans l écrire sur le disque. On peut identifier le type d attaque par les dll injectés. On peut les identifier en les comparant par les dll chargés depuis le même processus non exploité. Le processus exploité par le suspect a pour pid 1156,On va détecter tout les dll chargés pour le processus svchost.exe Les dll injectés par meterpreter sont encadrés,on peut les reconnaître en comparant les dll chargés par svchost.exe en un autre poste non piraté. 7

8 Securinets Securiday 2012 pro Edition [Investigation] Il se peut que le pirate utilise des outils anti-forensics,qui effacent toutes traces,le résultat sera comme suit 8

9 files Cette commande permet de déterminer les fichiers accédés pour chaque processus Importante pour déterminer les données que le pirate a pu accéder ii Analyse du disque dur Acquisition disque dur : dd if=/dev/sdb of=/home/sansforensics/desktop/img Nous allons commencer par utiliser Autopsy nous permettant d analyser les images précédemment copiées. 9

10 Cliquons sur «Files Activity TimeLines»qui permet de voir dans l ordre chronologique l accès / modification / supressions des fichiers sur la partition. Une fois le tri effectué, vous pouvez aller dans l onglet «view Timeline» afin de voir les fichiers vus/accédés en fonction de leur date.. A partir de ce résultat,on peut identifier la date exacte du piratage,par suite on peux récuperer toutes les données altérées et supprimés pour remettre le systéme informatique en fonction iii Analyse des smartphones : Pour le cas de vol du un smartphone (cas d iphone) On peux analyser les backup hebergés dans l icloud.par l identification via le login et mot de passe fournis avec l iphone iphone analyzer analyse ces backups pour en extraire : Toutes les SMS et appels envoyés et reçues Localisation du smartphone Cache du navigateur : historique de navigation 10

11 Informations à extraire Localisation du smartphone 11