Computer)Forensics - Computing Science and Mathematics ... · Computer)Security)&)Forensics...
Transcript of Computer)Forensics - Computing Science and Mathematics ... · Computer)Security)&)Forensics...
Computer)ForensicsComputer)Security)&)Forensics)
See)‘Incident)Response)&)Computer)Forensics’
Autumn)2014Computer)Security)&)Forensics
Topics
! Introduc=on)! What)is)Computer)Forensics?)
! The)Incident)Response)Process)
! Data)Collec=on)! Response)Toolkits)
! Recording)Informa=on
! Data)Analysis)! Windows)
! Unix)
! Networking
2
Autumn)2014Computer)Security)&)Forensics
Computer)Forensics
! Computer)Forensics)is)the)process)of)analysing)digital)media)to)determine)if)illegal)or)undesirable)ac=vity)has)taken)place)! From)a)legal)perspec=ve,)it)is)concerned)with)the)collec=on)of)digital)evidence)that)is)suitable)for)presenta=on)in)a)court)of)law))
! It)may)be)used)within)a)business)as)support)for)termina=on)of)contract)and)must)therefore)be)sufficient)to)meet)legal)valida=on
3
Autumn)2014Computer)Security)&)Forensics
The)Incident)Response)Process
! Prepara=on)! Prepare)Incident)Response)Team)(IRT))and)Systems)to)an=cipate)security)breach)
! Detec=on)! If)well)prepared,)an)organisa=on)should)detect)an)aSempted)intrusion)before)harm)occurs)
! Ini=al)Response)! Record)circumstances)of)intrusion)
! Assemble)IRT)&)no=fy)relevant)par=es
4
! Data)Collec=on)! Sta=c)&)Vola=le)Data)
! Monitor)for)further)intrusions
! Analysis)
! Report
Autumn)2014Computer)Security)&)Forensics
PreVIncident)Prepara=on)V)Checksums
! Record)cryptographic)checkVsums)of)cri=cal)files)on)a)known)good)system)! Ideally)this)machine)will)be)a)clean)install)and)will)not)have)been)networked)prior)to)checksum)calcula=on)
! Updates)may)have)to)be)downloaded)and)copied)to)benchmark)machine,)so)you)will)need)to)calculate)check)sums)aXer)update)and)check)against)update)list)to)ensure)that)only)updated)files)have)changed)
! Note)that)checksum)table)and)applica=on)should)not)be)stored)on)vulnerable/networked)systems)
! Hacker)may)subvert)MD5)program/table
5
Autumn)2014Computer)Security)&)Forensics
PreVIncident)Prepara=on)V)Logging
! Configure)Secure)Logging)! Unix)V)syslog)configura=on)
! Windows)V)by)default)it)will)usually)be)off)
! Use)a)remote)logging)server)! Hacker)may)subvert)a)system)and)could)alter)local)logs)
! A)remote)log)server)would)record)this)informa=on)and)could)not)easily)be)altered)
! Enable)full)network)device)logs)
! Log)everything)V)storage)is)not)usually)an)issue)! Could)keep)a)rolling)back)up)of)the)previous)6)months
6
Autumn)2014Computer)Security)&)Forensics
Windows)Security)Se`ngs
7
Autumn)2014Computer)Security)&)Forensics
PreVIncident)Prepara=on)V)Defences
! Ensure)all)known)updates)and)patches)have)been)applied)
! Disable)all)unused)services)
! Check)required)services)are)not)in)default)configura=on)! A)default)configura=on)ensures)aSackers)know)your)setup)
! Ensure)all)passwords)have)been)changed)V)not)leX)as)default...)
! Ensure)backups)are)made)of)all)systems)where)failure)/)loss)of)data)or)integrity)will)cause)harm)and)that)backups)are)not)stored)on)site...)! Regular)backups)will)enable)you)to)trace)point)of)intrusion)and)likely)harm
8
Autumn)2014Computer)Security)&)Forensics
PreVIncident)Prepara=on)V)Networks
! Use)Firewalls)and)create)relevant)DMZs)
! Access)Control)Lists)for)routers)! No)unexpected)device)should)be)able)to)aSach)itself)to)the)network)
! Maintain)an)accurate)map)of)network)topology)
! Encrypt)network)traffic)where)viable)to)prevent)eavesdropping)
! Require)network)authen=ca=on
9
Autumn)2014Computer)Security)&)Forensics
PreVIncident)Prepara=on)V)Policy
! A)known)security)policy)needs)to)be)in)place)before)you)act)on)a)security)incident)! If)employees)have)prior)expecta=ons)of)privacy)due)to)a)lack)of)company)policy,)they)may)not)respond)well)to)your)subsequent)ac=ons))
! E.g.)if)there)is)no)prior)stated)policy)that)you)may)search)email)logs,)you)may)find)you)are)not)legally)en=tled)to)do)this,)even)if)the)device)you)are)searching)belongs)to)your)company
10
Autumn)2014Computer)Security)&)Forensics
Response)Toolkits)V)SoXware
! Mul=VOS)bootable)machine)! e.g.)XP,)Windows)7,)Unix,)Linux)
! Forensics)soXware)packages)! See)module)resources)for)links)
! Clean,)bootable)USB)disks/DVDs)
! Flexible)file)viewing)soXware)! Must)allow)for)ascii)and)byte)code)view)
! Disk)write)blocking)soXware)
! A)secure)disk)image)of)the)complete)toolkit)! If)your)computer)becomes)infected,)you)may)need)to)wipe)it)and)reinstall)using)the)above
11
Autumn)2014Computer)Security)&)Forensics
Collec=ng)Data
! Vola=le)memory)state)(RAM))
! System)date)and)=me)
! Current)users)
! Current)processes)
! Open)Sockets)
! Applica=ons)listening)on)sockets)
! Complete)list)of)external)systems)that)have)a)current)or)recent)connec=on)to)system)
! Date)and)=me)stamps)for)all)files)
! Copy)of)registry,.ini)or)config)files
12
Autumn)2014Computer)Security)&)Forensics
Collec=ng)Data)V)Windows)(IRCF)V)Chpt5)
! Record)current)state:)! Log)files)
! Memory)V)Vola=lity)
! Command)Prompt)(cmd.exe))! netstat)V)list)network)connec=ons))
! nbtstat)V)NetBIOS)connec=ons))
! arp)V)list)MAC)addresses)of)recent)communica=ons)
! ipconfig)V)IP)configura=on)
! doskey)V)command)history)
! SysInternals)
! Foundstone)Forensic)Tools)! hSp://www.foundstone.com/us/resourcesVfreeVtools.asp)
! SHA/MD5)Checksum)U=lity)
! netcat)/)cryptcat)! create)network)connec=ons)between)forensic)computer)and)suspect)computer
13
Autumn)2014Computer)Security)&)Forensics
Collec=ng)Data)V)Unix)(IRCF)V)Chpt6)
! Record)current)state)of)all)log)files)&)memory)V)vola=lity)
! Unix)command)line)u=li=es))! ls)/)lsof)V)list)files)/)open)files)
! find)V)look)for)a)file))
! netstat)V)network)connec=ons)
! dig)V)dns)lookup)
! ifconfig)V)network)interface)config)
! ps)V)process)informa=on)
! strings)V)find)strings)in)binary)files)
! script)V)save)all)interac=on)to)a)file)
! pcat)V)copy)process)memory)
! icat)V)record)inode)data)
! netcat)/)cryptcat)
! md5sum)/)md5)/)sha)
! last)V)list)last)logins)
! w)V)who)is)logged)in)and)processes)
! grep)V)search)for)a)string)paSern
14
Autumn)2014Computer)Security)&)Forensics
Collec=ng)Network)Data
! Monitoring,)intercep=ng)and)recording)network)traffic)! wireshark,)tcpdump)V)packet)capture)apps)
! Event)Monitoring)! Watch)for)certain)events)occurring,)then)capture)data)
! Trap)&)Trace)Monitoring)! Record)types)of)interac=on,)not)data
15
Autumn)2014Computer)Security)&)Forensics
Data)Analysis
! Copy)recorded)forensic)materials)onto)an)analysis)machine)
! Examine)processes)that)were)running)and)communica=on)channels)
! For)suspect)processes:)! Examine)process)ownership)and)started)sub)processes)
! Cross)check)that)processes)should)be)communica=ng)on)given)ports)and)to)par=cular)IP)addresses)
! Scan)their)memory)and)executables)for)suspicious)strings)
! Submit)executables/DLLs)to)an=Vvirus)soXware/sites)for)analysis)
! Examine)byte)code)via)hex)editor/disassembler
16
Autumn)2014Computer)Security)&)Forensics
Loca=ons)V)Windows
! Check)! Vola=le)data)V)RAM)
! Free)disk)space)V)may)contain)deleted)files)
! Logical)file)system)
! Logs)
! Events)
! Registry)
! Applica=ons)
! Swap)files)V)recently)memory)resident)
! Applica=on)cache)files)
! Temp)files)
! Recycle)bin)
! Printer)spool)
! Email)logs)+).pst)for)Outlook
17
Autumn)2014Computer)Security)&)Forensics
Loca=ons)V)Unix
! Check)logs)! /var/log)V)very)useful)logs,)including)
! syslog)V)/var/log/system.log)
! applica=on)logs,)e.g)web)server)
! remote)logs))
! process)accoun=ng)(off)by)default))
! Shell)history)V)look)at)recent)commands)
! e.g.).bash_history)in)user)folder)
! lack)of)a)shell)history)file)can)indicate)an)aSack...
18
Autumn)2014Computer)Security)&)Forensics
Loca=ons)V)Unix
! File)Time)Stamps)! Check)created/accessed/modified)=me)stamps)for)previous)week/month)
! A)paSern)of)file)accesses)may)emerge)
! Configura=on)Files)V)/etc)
! Unusual)file)names)! hidden)via)‘.’))
! ‘...’)or)matches)to)system)files)in)the)wrong)place
19
Autumn)2014Computer)Security)&)Forensics
Network)Analysis
! Once)network)traffic)has)been)recorded)(e.g.)via)tcpdump),)the)traffic)paSerns)can)be)analysed)via)a)number)of)applica=ons)! tcptrace)&)tcpflow)V)find)network)sessions)in)data)file)
! Ethereal)V)reconstruct)streams)from)TCP)sessions)
! Examine)router)configura=on)&)logs)! Configura=on)may)indicate)accidental)exposure)of)services)
! Logs)may)show)
! Denial)of)Service)aSacks)(DoS))
! Probes)for)open)ports,)including)IP)address)of)source)device)
! Message)type)
20
Autumn)2014Computer)Security)&)Forensics
tcpdump)V>)tcptrace
2008V11V18)17:06:56.186463)IP)202.12.73.65.80)>)139.153.253.73.2906:)P)730:1460(730))ack)1)win)6432)) 0x0000:))4500)0302)17ed)4000)2b06)98d8)ca0c)4941))E.....@.+.....IA)) 0x0010:))8b99)fd49)0050)0b5a)7349)cb58)9d2a)f9ac))...I.P.ZsI.X.*..)) 0x0020:))5018)1920)c019)0000)eaa1)4590)7d8c)6455))P.........E.}.dU)) 0x0030:))04d9)c4c0)a831)315a)5177)5c04)c19c)6cf0)).....11ZQw\...l.)) 0x0040:))00ea)5807)0ec0)88a3)1ce7)4847)38d2)1118))..X.......HG8...)) 0x0050:))4a00)061c)f6a8)473d)c221)0c70)0ca4)2003))J.....G=.!.p....)) 0x0060:))a947)57b8)828f)ae00)4622)1719)4746)1af2)).GW.....F"..GF..)) 0x0070:))9086)84c3)23f7)b847)481e)5292)967c)a426))....#..GH.R..|.&)) 0x0080:))5d01)0b4e)6ab2)939e)f424)2861)0107)508a))]..Nj....$(a..P.)) 0x0090:))f290)4e39)820e)74a0)8f3f)b0ac)095c)f0a1))..N9..t..?...\..)) 0x00a0:))056b)5003)6268)301f)aad4)072b)7590)8c55)).kP.bh0....+u..U)) 0x00b0:))ea52)1f38)304d)050a)6007)09c2)f085)6528)).R.80M..`.....e()) 0x00c0:))831d)7ec9)cb55)ee12)0c5c)8866)348b)29c1))..~..U...\.f4.).)) 0x00d0:))32c8)6085)7690)c02e)9dd9)cb55)76b3)99e0))2.`.v......Uv...)
21
Autumn)2014Computer)Security)&)Forensics
tcptrace)session)informa=on
70)packets)seen,)38)TCP)packets)traced,)30)UDP)packets)traced)elapsed)wallclock)=me:)0:00:00.001126,)62166)pkts/sec)analyzed)trace)file)elapsed)=me:)0:00:08.824934)TCP)connec=on)info:)))1:)202.12.73.65:80)V)139.153.253.73:2904)(a2b))))))))))5>))))0<))(unidirec=onal))))2:)202.12.73.65:80)V)139.153.253.73:2906)(c2d)))))))))20>))))0<))(unidirec=onal))))3:)202.12.73.65:80)V)139.153.253.73:2905)(e2f))))))))))5>))))0<))(unidirec=onal))))4:)88.249.193.173:4863)V)139.153.253.73:22546)(i2j)))))2>))))0<))(unidirec=onal))))5:)92.247.241.17:43479)V)139.153.253.73:1199)(k2l))))))2>))))0<))(unidirec=onal))))6:)64.233.183.99:80)V)139.153.254.198:54495)(y2z)))))))2>))))2<)UDP)connec=on)info:)))1:)139.153.132.62:2049)V)239.255.255.250:1900)(g2h)))))))8>))))0<)))2:)139.153.253.153:138)V)139.153.255.255:138)(m2n))))))))1>))))0<)))3:)139.153.253.88:137)V)139.153.255.255:137)(o2p)))))))))4>))))0<)))4:)139.153.254.228:137)V)139.153.255.255:137)(q2r))))))))4>))))0<)))5:)139.153.254.226:137)V)139.153.255.255:137)(s2t))))))))1>))))0<)
22
Autumn)2014Computer)Security)&)Forensics
Analysis)V)Summary
! Check)! Logs)
! Trust)rela=onships)
! Iden=fy)! Recently)modified)files)
! Unauthorised)or)recent)user)accounts/group)changes)
! Unexpected)processes/services)
! Hidden)or)unexpected)files/directories)
! Unauthorised)access)points)
! Suspicious)network)traffic)
23
Autumn)2014Computer)Security)&)Forensics
Summary)V)Forensics
! Introduc=on)! What)is)Computer)Forensics?)
! The)Incident)Response)Process)
! Data)Collec=on)! Response)Toolkits)
! Recording)Informa=on
! Data)Analysis)! Windows)
! Unix)
! Networking
24