DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

Click here to load reader

  • date post

    14-Dec-2014
  • Category

    Documents

  • view

    111
  • download

    0

Embed Size (px)

description

 

Transcript of DEFTCON 2012 - Stefano Fratepietro & Massimiliano Dal Cero - DART Next Generation IR Tools

  • 1. DARTCreative Commons Attribuzione-Non opere derivate 2.5Dott. Stefano FratepietroDott. Massimiliano Dal CeroNext generation IR tooldeftcon 2012Maxi aula 1 - Palazzo di Giustizia di Torinovenerd 6 aprile 2012
  • 2. Incident ResponseUn incidente informatico un eventoidenticato su un determinato sistemainformatico che possa ledere alla stabilit ealla sicurezza del sistema stesso. Levento pu essere accertato o presunto Segnalato da un utente o dai sistemi dimonitoraggiovenerd 6 aprile 2012
  • 3. First responderFirst responder E il soggetto che arriva per primo sullascena del crimine e che acceder perprimo al sistema oggetto di indagine E responsabile dellanalisi e dellapreservazione delloriginalit del datovenerd 6 aprile 2012
  • 4. First responder Identica gli oggetti coinvolti Protegge la scena del crimine da eventuali alterazionidovute da attivit invasive dei propri colleghi Raccoglie tutte le informazioni, digitali e non, utili alcaso Crea una relazione di rst response con le attivitsvolte Appone, ove necessario, gli opportuni sigilli perevitare alterazioni futurevenerd 6 aprile 2012
  • 5. First responderJoint special operation universityhttps://jsou.socom.mil/Pages/Default.aspxhttps://jsou.socom.mil/Pages/2009JSOUPublications.aspxvenerd 6 aprile 2012
  • 6. Tante soluzioni masparse e poco note Mancanza di uno strumentopersonalizzabile senza lobbligo diricompilare codice sorgente Assenza di raccolte di applicativi ottimizzatiper attivit di Incident Response Assenza di strumenti di controllodellintegrit dei propri applicativi in temporealevenerd 6 aprile 2012
  • 7. IR pronto allusoDART Controllo dellintegrit dellapplicativoprima dellavvio Alto livello di personalizzazione Applicativi, liberamente re-distribuibili perlicenza duso, per eseguire attivit di IR eLive Forensics Binari dei principali sistemi operativiWindows, Linux e OS Xvenerd 6 aprile 2012
  • 8. DARTObjectPascal (Delphi) Open SourceCreazione di binari puri (no FW)Linguaggio multi piattaformavenerd 6 aprile 2012
  • 9. DARTDirectory Treevenerd 6 aprile 2012
  • 10. DARTXML Confvenerd 6 aprile 2012
  • 11. DARTXML Confvenerd 6 aprile 2012
  • 12. DARTXML Conf (empty)venerd 6 aprile 2012
  • 13. DARTAUDIT LOGvenerd 6 aprile 2012
  • 14. DART - Potenzialit Acquisizione memorie di massa Dump memoria ram Calcolo di hash Analisi processi Analisi trafco di rete Analisi registro di Windows Antimalware e Antirootkit Time line degli eventi del sistema Analisi navigazione Internet e posta elettronica Password crackingE molto altro...venerd 6 aprile 2012
  • 15. Esempio Caso Dusoavvio smartSniff e indago su attivit anomale di retevenerd 6 aprile 2012
  • 16. Esempio Caso Dusoindago sulle socket aperte e il relativi processivenerd 6 aprile 2012
  • 17. Esempio Caso Dusoanalizzo il processovenerd 6 aprile 2012
  • 18. Esempio Caso Dusoanalizzo le dll associate al processovenerd 6 aprile 2012
  • 19. Controllo degli hashdei le di interesseCalcoliamo lhash del le sperando di trovarequalcuno che abbia la stessa release e vericare?http://www.nsrl.nist.govThe National Software Reference Library (NSRL)Si se ho pochi sistemi... in alternativa:19venerd 6 aprile 2012
  • 20. Grazie per lattenzione.Dott. Stefano [email protected]: stevedeftDomande?Dott. Massimiliano Dal [email protected]: yattamaxvenerd 6 aprile 2012