sábado, 5 de julho de 2008

Resposta a Incidentes II

No nosso último post sobre esse assunto, comentamos aspectos gerais de Resposta a Incidentes e do trabalho dos First Responders, os verdadeiros brigadistas digitais.

Vamos falar agora um pouco mais sobre as ferramentas disponíveis no Helix e realizar uma comparação entre as ferramentas.


WFT
O WFT automatiza a execução de um grupo de comandos e utilitários para capturar o maior número possível de informações voláteis de um computador envolvido em um incidente de segurança de informações. Ele carrega a lista de execução a partir de um arquivo de configurações, e armazena o resultado de cada um localmente ou remotamente, em um drive compartilhado.


FSP




O FSP (Forensic Server Project) tem arquitetura cliente-servidor. Um executável-servidor (fspc) roda em no computador que receberá todos os resultados das informações capturadas. O executável-cliente, fruc, roda na estação comprometida e executa comandos e utilitários configurados em um arquivo .ini. É possível, embora não recomendável, executar o fspc e o fruc na mesma máquina.


IRCR2

A principal diferença do IRCR2 é que ele é um script DOS, ao invés de um arquivo compilado. Para alterar qualquer utilitário a ser executado, é preciso localizar a linha e alterar diretamente no código. É possível enviar o resultado da coleta (os dados) para uma máquina remota, via NetCat.

Comparando ...
Quais são as ferramentas e utilitários que cada um tem pré-configurado ?

UtilitárioWFTFSPIRCR2
Lista tarefas agendadas at e schtasksat
Lista últimos comandos no DOSdoskeydoskey
Lista configurações de TCP/IPipconfigipconfigipconfig
Informa a memória livre/ocupadamemmem
Lista diversas informações de redenetnet
Lista informações de conexões TCP/IPnetstatnetstatnetstat
Lista a tabela de rotasrouteroute
Lista informações do SOuname e hostnameunamesysteminfo
Lista informações do ARParparp
Lista o Audit Policyauditpolauditpolauditpol
Lista valores de chaves do registroregreg
Lista portas abertas e suas respectivas aplicaçõesfport e openportsfport e openportsfport
Informações sobre Null sessionshunthunt
Informações sobre o Netbiosnbtstatnbtstat
Exibe informações de login/logoutntlastntlast
Lista o conteúdo do Clipboardpclippclippclip
Lista todos os processos e as DLLs que estão associadasprocinterrogateprocinterrogate
Lista os processos correntesps, tlist, tasklisttlistps
Exibe os arquivos abertos remotamentepsfilepsfile
Lista informações sobre o sistemapsinfopsinfopsinfo
Lista informações detalhadas dos processospslistpslistpslist
Lista usuários logado na quinapsloggedon e netuserspsloggedonpsloggedon
Lista informações sobre os serviçospsservicepsservice
Lista processos em execuçãopulistpulist
Lista informações sobre os serviços que estão sendo executadosservicelistservicelist
Faz um dump do event logdumpel e psloglistpsloglistdumpel
Detecta se a placa de rede está em modo promiscuopromiscdetectpromiscdetect
Lista conteúdo do diretóriodirls
Lista URLs recentemente visitadasiehviehv
Lista USB devices conectados usbdview
Exporta History.dat do Mozilladork
Informa há quanto tempo a máquina está ligadauptimeuptime
Lista os processos com inicialização automáticaautorunscautorunsc
Lista strings nos arquivosstringsfind
Lista MAC timesmac
Lista o usuário correntewhoami
Lista todas as DLLs carregadaslistdlls
Lista as threads executando e o statuspstat
Lista os processos e seus arquivos abertoshandle
Lista informações dos serviços sendo executadossc
Lista informações dos drivers instaladosdrivers
Lista as interfaces IPiplist
Lista a tabela de rotas IPX ipxroute
Detecta se WinPCap está presentendis
Lista informações sobre o sistema NTFSntfsinfo
Localiza arquivos hiddenhfind
Localiza e lista Alternate Data Streamsstreams e sfind
Lista informações do EFSefsinfo
Lista o espaço disponível em um drivefreespace
Informações de Group Policiesgplist
Lista efeitos da Group Policy e usuários que logaram na máquinagpresult
Faz dump do Registryregdmp
Lista o conteúdo do Protect storagepstoreview
Verifica a existência de um driver de modemmdm
Busca por rootkitsrootkitrevealer




Comentários e experiências ? Conte-nos qual a sua preferência, e porquê.

Até o próximo post !

Nenhum comentário: