Dott. Stefano Fratepietro Dott. Massimiliano Dal Cero - DEFT Linux

venerdì 6 aprile 2012 

DART 

Next generation IR tool 

deftcon 2012 

Maxi aula 1 - Palazzo di Giustizia di Torino 

Dott. Stefano Fratepietro 

Dott. Massimiliano Dal Cero 

Creative Commons Attribuzione-Non opere derivate 2.5


Incident Response 

Un incidente informatico è un evento 

identificato su un determinato sistema 

informatico che possa ledere alla stabilità e 

alla sicurezza del sistema stesso. 

• L’evento può essere accertato o presunto 

• Segnalato da un utente o dai sistemi di 

monitoraggio


First responder 


• E’ il soggetto che arriva per primo sulla 

scena del crimine e che accederà per 

primo al sistema oggetto di indagine 

• E’ responsabile dell’analisi e della 

preservazione dell’originalità del dato



• Identifica gli oggetti coinvolti 

• Protegge la scena del crimine da eventuali alterazioni 

dovute da attività invasive dei propri colleghi 

• Raccoglie tutte le informazioni, digitali e non, utili al 

caso 

• Crea una relazione di first response con le attività 

svolte 

• Appone, ove necessario, gli opportuni sigilli per 

evitare alterazioni future


Joint special operation university 

https://jsou.socom.mil/Pages/Default.aspx 

https://jsou.socom.mil/Pages/2009JSOUPublications.aspx 

venerdì 6 aprile 2012


Tante soluzioni ma 

sparse e poco note 

• Mancanza di uno strumento 

personalizzabile senza l’obbligo di 

ricompilare codice sorgente 

• Assenza di raccolte di applicativi ottimizzati 

per attività di Incident Response 

• Assenza di strumenti di controllo 

dell’integrità dei propri applicativi in tempo 

reale


DART 

IR pronto all’uso 

• Controllo dell’integrità dell’applicativo 

prima dell’avvio 

• Alto livello di personalizzazione 

• Applicativi, liberamente re-distribuibili per 

licenza d’uso, per eseguire attività di IR e 

Live Forensics 

• Binari dei principali sistemi operativi 

Windows, Linux e OS X


DART 

ObjectPascal (Delphi) Open Source 

Creazione di binari puri (no FW) 

Linguaggio multi piattaforma

Directory Tree 


DART

XML Conf 


DART

XML Conf 


DART

XML Conf (empty) 


DART

AUDIT LOG 


DART


• 

• 

• 

• 

• 

• 

• 

• 

• 

• 

DART - Potenzialità 

Acquisizione memorie di massa 

Dump memoria ram 

Calcolo di hash 

Analisi processi 

Analisi traffico di rete 

Analisi registro di Windows 

Antimalware e Antirootkit 

Time line degli eventi del sistema 

Analisi navigazione Internet e posta elettronica 

Password cracking 

E molto altro...


Esempio Caso D’uso 

avvio smartSniff e indago su attività anomale di rete



indago sulle socket aperte e il relativi processi



analizzo il processo



analizzo le dll associate al processo


Controllo degli hash 

dei file di interesse 

Calcoliamo l’hash del file sperando di trovare 

qualcuno che abbia la stessa release e verificare? 

Si se ho pochi sistemi... in alternativa: 

The National Software Reference Library (NSRL) 

http://www.nsrl.nist.gov 

19

Grazie per lʼattenzione. 

Dott. Stefano Fratepietro 

stefano@deftlinux.net 


steve.deftlinux.net 

Twitter: stevedeft 

Domande? 

Dott. Massimiliano Dal Cero 

massimiliano@deftlinux.net 

Twitter: yattamax

Dott. Stefano Fratepietro Dott. Massimiliano Dal Cero - DEFT Linux

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?