Computer)Forensics - Computing Science and Mathematics ... · Computer)Security)&)Forensics Autumn)2014 Computer)Forensics! Computer)Forensics)is)the)process)of)analysing)digital)media)to)determine)if)

Computer)ForensicsComputer)Security)&)Forensics)

See)‘Incident)Response)&)Computer)Forensics’

Autumn)2014Computer)Security)&)Forensics

Topics

! Introduc=on)! What)is)Computer)Forensics?)

! The)Incident)Response)Process)

! Data)Collec=on)! Response)Toolkits)

! Recording)Informa=on

! Data)Analysis)! Windows)

! Unix)

! Networking

2


Computer)Forensics

! Computer)Forensics)is)the)process)of)analysing)digital)media)to)determine)if)illegal)or)undesirable)ac=vity)has)taken)place)! From)a)legal)perspec=ve,)it)is)concerned)with)the)collec=on)of)digital)evidence)that)is)suitable)for)presenta=on)in)a)court)of)law))

! It)may)be)used)within)a)business)as)support)for)termina=on)of)contract)and)must)therefore)be)sufficient)to)meet)legal)valida=on

3


The)Incident)Response)Process

! Prepara=on)! Prepare)Incident)Response)Team)(IRT))and)Systems)to)an=cipate)security)breach)

! Detec=on)! If)well)prepared,)an)organisa=on)should)detect)an)aSempted)intrusion)before)harm)occurs)

! Ini=al)Response)! Record)circumstances)of)intrusion)

! Assemble)IRT)&)no=fy)relevant)par=es

4

! Data)Collec=on)! Sta=c)&)Vola=le)Data)

! Monitor)for)further)intrusions

! Analysis)

! Report


PreVIncident)Prepara=on)V)Checksums

! Record)cryptographic)checkVsums)of)cri=cal)files)on)a)known)good)system)! Ideally)this)machine)will)be)a)clean)install)and)will)not)have)been)networked)prior)to)checksum)calcula=on)

! Updates)may)have)to)be)downloaded)and)copied)to)benchmark)machine,)so)you)will)need)to)calculate)check)sums)aXer)update)and)check)against)update)list)to)ensure)that)only)updated)files)have)changed)

! Note)that)checksum)table)and)applica=on)should)not)be)stored)on)vulnerable/networked)systems)

! Hacker)may)subvert)MD5)program/table

5


PreVIncident)Prepara=on)V)Logging

! Configure)Secure)Logging)! Unix)V)syslog)configura=on)

! Windows)V)by)default)it)will)usually)be)off)

! Use)a)remote)logging)server)! Hacker)may)subvert)a)system)and)could)alter)local)logs)

! A)remote)log)server)would)record)this)informa=on)and)could)not)easily)be)altered)

! Enable)full)network)device)logs)

! Log)everything)V)storage)is)not)usually)an)issue)! Could)keep)a)rolling)back)up)of)the)previous)6)months

6


Windows)Security)Se`ngs

7


PreVIncident)Prepara=on)V)Defences

! Ensure)all)known)updates)and)patches)have)been)applied)

! Disable)all)unused)services)

! Check)required)services)are)not)in)default)configura=on)! A)default)configura=on)ensures)aSackers)know)your)setup)

! Ensure)all)passwords)have)been)changed)V)not)leX)as)default...)

! Ensure)backups)are)made)of)all)systems)where)failure)/)loss)of)data)or)integrity)will)cause)harm)and)that)backups)are)not)stored)on)site...)! Regular)backups)will)enable)you)to)trace)point)of)intrusion)and)likely)harm

8


PreVIncident)Prepara=on)V)Networks

! Use)Firewalls)and)create)relevant)DMZs)

! Access)Control)Lists)for)routers)! No)unexpected)device)should)be)able)to)aSach)itself)to)the)network)

! Maintain)an)accurate)map)of)network)topology)

! Encrypt)network)traffic)where)viable)to)prevent)eavesdropping)

! Require)network)authen=ca=on

9


PreVIncident)Prepara=on)V)Policy

! A)known)security)policy)needs)to)be)in)place)before)you)act)on)a)security)incident)! If)employees)have)prior)expecta=ons)of)privacy)due)to)a)lack)of)company)policy,)they)may)not)respond)well)to)your)subsequent)ac=ons))

! E.g.)if)there)is)no)prior)stated)policy)that)you)may)search)email)logs,)you)may)find)you)are)not)legally)en=tled)to)do)this,)even)if)the)device)you)are)searching)belongs)to)your)company

10


Response)Toolkits)V)SoXware

! Mul=VOS)bootable)machine)! e.g.)XP,)Windows)7,)Unix,)Linux)

! Forensics)soXware)packages)! See)module)resources)for)links)

! Clean,)bootable)USB)disks/DVDs)

! Flexible)file)viewing)soXware)! Must)allow)for)ascii)and)byte)code)view)

! Disk)write)blocking)soXware)

! A)secure)disk)image)of)the)complete)toolkit)! If)your)computer)becomes)infected,)you)may)need)to)wipe)it)and)reinstall)using)the)above

11


Collec=ng)Data

! Vola=le)memory)state)(RAM))

! System)date)and)=me)

! Current)users)

! Current)processes)

! Open)Sockets)

! Applica=ons)listening)on)sockets)

! Complete)list)of)external)systems)that)have)a)current)or)recent)connec=on)to)system)

! Date)and)=me)stamps)for)all)files)

! Copy)of)registry,.ini)or)config)files

12


Collec=ng)Data)V)Windows)(IRCF)V)Chpt5)

! Record)current)state:)! Log)files)

! Memory)V)Vola=lity)

! Command)Prompt)(cmd.exe))! netstat)V)list)network)connec=ons))

! nbtstat)V)NetBIOS)connec=ons))

! arp)V)list)MAC)addresses)of)recent)communica=ons)

! ipconfig)V)IP)configura=on)

! doskey)V)command)history)

! SysInternals)

! Foundstone)Forensic)Tools)! hSp://www.foundstone.com/us/resourcesVfreeVtools.asp)

! SHA/MD5)Checksum)U=lity)

! netcat)/)cryptcat)! create)network)connec=ons)between)forensic)computer)and)suspect)computer

13


Collec=ng)Data)V)Unix)(IRCF)V)Chpt6)

! Record)current)state)of)all)log)files)&)memory)V)vola=lity)

! Unix)command)line)u=li=es))! ls)/)lsof)V)list)files)/)open)files)

! find)V)look)for)a)file))

! netstat)V)network)connec=ons)

! dig)V)dns)lookup)

! ifconfig)V)network)interface)config)

! ps)V)process)informa=on)

! strings)V)find)strings)in)binary)files)

! script)V)save)all)interac=on)to)a)file)

! pcat)V)copy)process)memory)

! icat)V)record)inode)data)

! netcat)/)cryptcat)

! md5sum)/)md5)/)sha)

! last)V)list)last)logins)

! w)V)who)is)logged)in)and)processes)

! grep)V)search)for)a)string)paSern

14


Collec=ng)Network)Data

! Monitoring,)intercep=ng)and)recording)network)traffic)! wireshark,)tcpdump)V)packet)capture)apps)

! Event)Monitoring)! Watch)for)certain)events)occurring,)then)capture)data)

! Trap)&)Trace)Monitoring)! Record)types)of)interac=on,)not)data

15


Data)Analysis

! Copy)recorded)forensic)materials)onto)an)analysis)machine)

! Examine)processes)that)were)running)and)communica=on)channels)

! For)suspect)processes:)! Examine)process)ownership)and)started)sub)processes)

! Cross)check)that)processes)should)be)communica=ng)on)given)ports)and)to)par=cular)IP)addresses)

! Scan)their)memory)and)executables)for)suspicious)strings)

! Submit)executables/DLLs)to)an=Vvirus)soXware/sites)for)analysis)

! Examine)byte)code)via)hex)editor/disassembler

16


Loca=ons)V)Windows

! Check)! Vola=le)data)V)RAM)

! Free)disk)space)V)may)contain)deleted)files)

! Logical)file)system)

! Logs)

! Events)

! Registry)

! Applica=ons)

! Swap)files)V)recently)memory)resident)

! Applica=on)cache)files)

! Temp)files)

! Recycle)bin)

! Printer)spool)

! Email)logs)+).pst)for)Outlook

17


Loca=ons)V)Unix

! Check)logs)! /var/log)V)very)useful)logs,)including)

! syslog)V)/var/log/system.log)

! applica=on)logs,)e.g)web)server)

! remote)logs))

! process)accoun=ng)(off)by)default))

! Shell)history)V)look)at)recent)commands)

! e.g.).bash_history)in)user)folder)

! lack)of)a)shell)history)file)can)indicate)an)aSack...

18


Loca=ons)V)Unix

! File)Time)Stamps)! Check)created/accessed/modified)=me)stamps)for)previous)week/month)

! A)paSern)of)file)accesses)may)emerge)

! Configura=on)Files)V)/etc)

! Unusual)file)names)! hidden)via)‘.’))

! ‘...’)or)matches)to)system)files)in)the)wrong)place

19


Network)Analysis

! Once)network)traffic)has)been)recorded)(e.g.)via)tcpdump),)the)traffic)paSerns)can)be)analysed)via)a)number)of)applica=ons)! tcptrace)&)tcpflow)V)find)network)sessions)in)data)file)

! Ethereal)V)reconstruct)streams)from)TCP)sessions)

! Examine)router)configura=on)&)logs)! Configura=on)may)indicate)accidental)exposure)of)services)

! Logs)may)show)

! Denial)of)Service)aSacks)(DoS))

! Probes)for)open)ports,)including)IP)address)of)source)device)

! Message)type)

20


tcpdump)V>)tcptrace

2008V11V18)17:06:56.186463)IP)202.12.73.65.80)>)139.153.253.73.2906:)P)730:1460(730))ack)1)win)6432)) 0x0000:))4500)0302)17ed)4000)2b06)98d8)ca0c)4941))E.....@.+.....IA)) 0x0010:))8b99)fd49)0050)0b5a)7349)cb58)9d2a)f9ac))...I.P.ZsI.X.*..)) 0x0020:))5018)1920)c019)0000)eaa1)4590)7d8c)6455))P.........E.}.dU)) 0x0030:))04d9)c4c0)a831)315a)5177)5c04)c19c)6cf0)).....11ZQw\...l.)) 0x0040:))00ea)5807)0ec0)88a3)1ce7)4847)38d2)1118))..X.......HG8...)) 0x0050:))4a00)061c)f6a8)473d)c221)0c70)0ca4)2003))J.....G=.!.p....)) 0x0060:))a947)57b8)828f)ae00)4622)1719)4746)1af2)).GW.....F"..GF..)) 0x0070:))9086)84c3)23f7)b847)481e)5292)967c)a426))....#..GH.R..|.&)) 0x0080:))5d01)0b4e)6ab2)939e)f424)2861)0107)508a))]..Nj....$(a..P.)) 0x0090:))f290)4e39)820e)74a0)8f3f)b0ac)095c)f0a1))..N9..t..?...\..)) 0x00a0:))056b)5003)6268)301f)aad4)072b)7590)8c55)).kP.bh0....+u..U)) 0x00b0:))ea52)1f38)304d)050a)6007)09c2)f085)6528)).R.80M..`.....e()) 0x00c0:))831d)7ec9)cb55)ee12)0c5c)8866)348b)29c1))..~..U...\.f4.).)) 0x00d0:))32c8)6085)7690)c02e)9dd9)cb55)76b3)99e0))2.`.v......Uv...)

21


tcptrace)session)informa=on

70)packets)seen,)38)TCP)packets)traced,)30)UDP)packets)traced)elapsed)wallclock)=me:)0:00:00.001126,)62166)pkts/sec)analyzed)trace)file)elapsed)=me:)0:00:08.824934)TCP)connec=on)info:)))1:)202.12.73.65:80)V)139.153.253.73:2904)(a2b))))))))))5>))))0<))(unidirec=onal))))2:)202.12.73.65:80)V)139.153.253.73:2906)(c2d)))))))))20>))))0<))(unidirec=onal))))3:)202.12.73.65:80)V)139.153.253.73:2905)(e2f))))))))))5>))))0<))(unidirec=onal))))4:)88.249.193.173:4863)V)139.153.253.73:22546)(i2j)))))2>))))0<))(unidirec=onal))))5:)92.247.241.17:43479)V)139.153.253.73:1199)(k2l))))))2>))))0<))(unidirec=onal))))6:)64.233.183.99:80)V)139.153.254.198:54495)(y2z)))))))2>))))2<)UDP)connec=on)info:)))1:)139.153.132.62:2049)V)239.255.255.250:1900)(g2h)))))))8>))))0<)))2:)139.153.253.153:138)V)139.153.255.255:138)(m2n))))))))1>))))0<)))3:)139.153.253.88:137)V)139.153.255.255:137)(o2p)))))))))4>))))0<)))4:)139.153.254.228:137)V)139.153.255.255:137)(q2r))))))))4>))))0<)))5:)139.153.254.226:137)V)139.153.255.255:137)(s2t))))))))1>))))0<)

22


Analysis)V)Summary

! Check)! Logs)

! Trust)rela=onships)

! Iden=fy)! Recently)modified)files)

! Unauthorised)or)recent)user)accounts/group)changes)

! Unexpected)processes/services)

! Hidden)or)unexpected)files/directories)

! Unauthorised)access)points)

! Suspicious)network)traffic)

23


Summary)V)Forensics

! Introduc=on)! What)is)Computer)Forensics?)

! The)Incident)Response)Process)

! Data)Collec=on)! Response)Toolkits)

! Recording)Informa=on

! Data)Analysis)! Windows)

! Unix)

! Networking

24

Documents

Computer)Forensics - Computing Science and Mathematics ... · Computer)Security)&)Forensics Autumn)2014 Computer)Forensics! Computer)Forensics)is)the)process)of)analysing)digital)media)to)determine)if)