DART

Creative Commons Attribuzione-Non opere derivate 2.5

Dott. Stefano FratepietroDott. Massimiliano Dal Cero

Next generation IR tool

deftcon 2012Maxi aula 1 - Palazzo di Giustizia di Torino

venerdì 6 aprile 2012

Incident Response

Un incidente informatico è un evento identificato su un determinato sistema informatico che possa ledere alla stabilità e alla sicurezza del sistema stesso.

• L’evento può essere accertato o presunto

• Segnalato da un utente o dai sistemi di monitoraggio

venerdì 6 aprile 2012

First responder

First responder

• E’ il soggetto che arriva per primo sulla scena del crimine e che accederà per primo al sistema oggetto di indagine

• E’ responsabile dell’analisi e della preservazione dell’originalità del dato

venerdì 6 aprile 2012

First responder• Identifica gli oggetti coinvolti

• Protegge la scena del crimine da eventuali alterazioni dovute da attività invasive dei propri colleghi

• Raccoglie tutte le informazioni, digitali e non, utili al caso

• Crea una relazione di first response con le attività svolte

• Appone, ove necessario, gli opportuni sigilli per evitare alterazioni future

venerdì 6 aprile 2012

First responder

Joint special operation universityhttps://jsou.socom.mil/Pages/Default.aspx

https://jsou.socom.mil/Pages/2009JSOUPublications.aspx

venerdì 6 aprile 2012

Tante soluzioni ma sparse e poco note• Mancanza di uno strumento

personalizzabile senza l’obbligo di ricompilare codice sorgente

• Assenza di raccolte di applicativi ottimizzati per attività di Incident Response

• Assenza di strumenti di controllo dell’integrità dei propri applicativi in tempo reale

venerdì 6 aprile 2012

IR pronto all’uso

DART

• Controllo dell’integrità dell’applicativo prima dell’avvio

• Alto livello di personalizzazione

• Applicativi, liberamente re-distribuibili per licenza d’uso, per eseguire attività di IR e Live Forensics

• Binari dei principali sistemi operativi Windows, Linux e OS X

venerdì 6 aprile 2012

DART

ObjectPascal (Delphi) Open Source

Creazione di binari puri (no FW)

Linguaggio multi piattaforma

venerdì 6 aprile 2012

DARTDirectory Tree

venerdì 6 aprile 2012

DARTXML Conf

venerdì 6 aprile 2012

DARTXML Conf

venerdì 6 aprile 2012

DARTXML Conf (empty)

venerdì 6 aprile 2012

DARTAUDIT LOG

venerdì 6 aprile 2012

DART - Potenzialità• Acquisizione memorie di massa

• Dump memoria ram

• Calcolo di hash

• Analisi processi

• Analisi traffico di rete

• Analisi registro di Windows

• Antimalware e Antirootkit

• Time line degli eventi del sistema

• Analisi navigazione Internet e posta elettronica

• Password cracking

E molto altro...venerdì 6 aprile 2012

Esempio Caso D’usoavvio smartSniff e indago su attività anomale di rete

venerdì 6 aprile 2012

Esempio Caso D’usoindago sulle socket aperte e il relativi processi

venerdì 6 aprile 2012

Esempio Caso D’usoanalizzo il processo

venerdì 6 aprile 2012

Esempio Caso D’usoanalizzo le dll associate al processo

venerdì 6 aprile 2012

Controllo degli hashdei file di interesse

Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare?

http://www.nsrl.nist.gov

The National Software Reference Library (NSRL)

Si se ho pochi sistemi... in alternativa:19

venerdì 6 aprile 2012

Grazie per lʼattenzione.Dott. Stefano Fratepietro

stefano@deftlinux.netsteve.deftlinux.netTwitter: stevedeft

Domande?

Dott. Massimiliano Dal Cero

massimiliano@deftlinux.netTwitter: yattamax

venerdì 6 aprile 2012