DART
Creative Commons Attribuzione-Non opere derivate 2.5
Dott. Stefano FratepietroDott. Massimiliano Dal Cero
Next generation IR tool
deftcon 2012Maxi aula 1 - Palazzo di Giustizia di Torino
venerdì 6 aprile 2012
Incident Response
Un incidente informatico è un evento identificato su un determinato sistema informatico che possa ledere alla stabilità e alla sicurezza del sistema stesso.
• L’evento può essere accertato o presunto
• Segnalato da un utente o dai sistemi di monitoraggio
venerdì 6 aprile 2012
First responder
First responder
• E’ il soggetto che arriva per primo sulla scena del crimine e che accederà per primo al sistema oggetto di indagine
• E’ responsabile dell’analisi e della preservazione dell’originalità del dato
venerdì 6 aprile 2012
First responder• Identifica gli oggetti coinvolti
• Protegge la scena del crimine da eventuali alterazioni dovute da attività invasive dei propri colleghi
• Raccoglie tutte le informazioni, digitali e non, utili al caso
• Crea una relazione di first response con le attività svolte
• Appone, ove necessario, gli opportuni sigilli per evitare alterazioni future
venerdì 6 aprile 2012
First responder
Joint special operation universityhttps://jsou.socom.mil/Pages/Default.aspx
https://jsou.socom.mil/Pages/2009JSOUPublications.aspx
venerdì 6 aprile 2012
Tante soluzioni ma sparse e poco note• Mancanza di uno strumento
personalizzabile senza l’obbligo di ricompilare codice sorgente
• Assenza di raccolte di applicativi ottimizzati per attività di Incident Response
• Assenza di strumenti di controllo dell’integrità dei propri applicativi in tempo reale
venerdì 6 aprile 2012
IR pronto all’uso
DART
• Controllo dell’integrità dell’applicativo prima dell’avvio
• Alto livello di personalizzazione
• Applicativi, liberamente re-distribuibili per licenza d’uso, per eseguire attività di IR e Live Forensics
• Binari dei principali sistemi operativi Windows, Linux e OS X
venerdì 6 aprile 2012
DART
ObjectPascal (Delphi) Open Source
Creazione di binari puri (no FW)
Linguaggio multi piattaforma
venerdì 6 aprile 2012
DARTDirectory Tree
venerdì 6 aprile 2012
DARTXML Conf
venerdì 6 aprile 2012
DARTXML Conf
venerdì 6 aprile 2012
DARTXML Conf (empty)
venerdì 6 aprile 2012
DARTAUDIT LOG
venerdì 6 aprile 2012
DART - Potenzialità• Acquisizione memorie di massa
• Dump memoria ram
• Calcolo di hash
• Analisi processi
• Analisi traffico di rete
• Analisi registro di Windows
• Antimalware e Antirootkit
• Time line degli eventi del sistema
• Analisi navigazione Internet e posta elettronica
• Password cracking
E molto altro...venerdì 6 aprile 2012
Esempio Caso D’usoavvio smartSniff e indago su attività anomale di rete
venerdì 6 aprile 2012
Esempio Caso D’usoindago sulle socket aperte e il relativi processi
venerdì 6 aprile 2012
Esempio Caso D’usoanalizzo il processo
venerdì 6 aprile 2012
Esempio Caso D’usoanalizzo le dll associate al processo
venerdì 6 aprile 2012
Controllo degli hashdei file di interesse
Calcoliamo l’hash del file sperando di trovare qualcuno che abbia la stessa release e verificare?
http://www.nsrl.nist.gov
The National Software Reference Library (NSRL)
Si se ho pochi sistemi... in alternativa:19
venerdì 6 aprile 2012
Grazie per lʼattenzione.Dott. Stefano Fratepietro
[email protected]: stevedeft
Domande?
Dott. Massimiliano Dal Cero
[email protected]: yattamax
venerdì 6 aprile 2012
Top Related