Leonardo Musumeci » Memory forensics http://leonardomusumeci.net Ict Translator, Website and Software Localizer. I'll speak of my work and the translation world Sat, 10 Jul 2010 11:25:16 +0000 http://wordpress.org/?v=2.9.2 it hourly 1 Memory forensics: un esempio pratico http://leonardomusumeci.net/2009/08/22/memory-forensics-un-esempio-pratico/ http://leonardomusumeci.net/2009/08/22/memory-forensics-un-esempio-pratico/#comments Sat, 22 Aug 2009 09:28:43 +0000 admin http://leonardomusumeci.net/?p=495 Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Durante un incidente informatico in un’azienda protetta da antimalware, Host IPS e Windows GPO; atti ad impedire l’esecuzione di materiale pericoloso, abbiamo notato qualcosa di sospetto nella rete e sembrava venisse utilizzato per far trapelare informazioni. Cosa dobbiamo fare per avere indizi su ciò che sta accadendo?
La memory forensics ci può aiutare. Effettuiamo una prima immagine della memoria utilizzando il software MDD di Mantech (http://www.mantech.com/msma/mdd.asp):

Dopo aver effettuato l’immagine, useremo uno strumento che possa essere in grado di sondare in maniera più approfondita ciò che contiene, in modo da ottenere le prove utili per il caso. Si userà Volatility framework (https://www.volatilesystems.com/default/volatilità). Un software open source in Python che è in grado di analizzare le immagini della memoria di Windows XP e raccogliere informazioni: come i socket creati, la lista dei processi, la lista delle DLL caricate, le connessioni attive, l’indirizzo di memoria, i file aperti e le chiavi di registro per ogni processo. Ecco come si usa: digitiamo python volatility :

src=”http://manuel.santander.name/sans/volatility_usage.jpg” alt=”" />

Otteremo la lista dei processi, ora cerchiamo di trovare qualcosa di strano. Digitiamo python volatility pslist memory.dmp-f :

Abbiamo trovato qualcosa. PID 2316 sembra essere un netcat. Vediamo se c’è qualche trasferimento in corso, grazie ad un controllo delle connessioni attive sull’ host, digitiamo python volatility connections -f memory.dmp :

Nessun trasferimento in corso. Netcat potrebbe essere in ascolto? Verifichiamo ogni socket creato digitando python volatility sockscan memory.dmp-f :

Abbiamo trovato qualcosa! Netcat sembra essere in ascolto sulla porta TCP 1234 (Protocollo 6).

È possibile verificare i numeri di protocollo qui .

Dove sta scrivendo? Proviamo ad aprire i file digitando python volatility file memory.dmp-f :

Sembra essere in attesa di un file di Excel. Proporrò altri casi nei prossimi post.

Manuel Humberto Peláez Santander è Chief Information Security Officer dell’ Empresas públicas Medellín ESP .

Possiede GCFA, GCIA, GNET, GCFW, GCIH e GSEC.

Fonte : Memory forensics: A practical example

]]> http://leonardomusumeci.net/2009/08/22/memory-forensics-un-esempio-pratico/feed/ 0