Incident Response, Security and Forensics"

.

viernes, 31 de octubre de 2008

Cosas de casa

En uno de los apartados forense más comunes, consiste en analizar el registro de windows. Como ya sabréis es la base de datos de configuraciones volátiles y no volátiles del entorno del sistema operativo y aplicaciones.

Sin entrar en detalle sobre el registro de windows, simplemente voy a comentar algunas de las claves mas usadas en la investigación forense, y como suelo decir, nos ponemos manos a la obra.

El editor del registro no muestra solo la estructura local, existen varias claves y subclaves que están almacenadas sobre ficheros en el disco duro. Estos ficheros son llamados 'hives'. El sistema a estos ficheros 'los mima' estableciendo copias de seguridad para su posterior utilización en caso de que el sistema falle en el inicio del sistema operativo. Las claves del registro que se asocian a los 'hives' son HKLM y HKU.

En la siguiente tabla se muestra se muestra su correspondencia en disco.

La cadena HKLM se encuentra en %SYSTEMROOT%\System32\config\ (%SYSTEMROOT% normalmente referido a C:\WINDOWS). HKLM\HARDWARE Este fichero 'hive' es dinamico y se crea en tiempo de ejecución en el inicio del sistema, copiandose en memoria (Russinovich, 1999).

HKU\.DEFAULT corresponde a %SYSTEMROOT%\System32\config\default. HKU\SID normalmente esta situado en el directorio por defecto del usuario (home directory),en %USERPROFILE%\NTUSER.DAT, y HKU\SID_CLASSES que corresponde a %USERPROFILE%\Local Settings \Application Data\Microsoft\Windows\UsrClass.dat.

En esta tabla tenemos un resumen

Registry Path Ficheros HIVE

HKLM\SAM --> SAM, SAM.LOG
HKLM\SECURITY --> SECURITY, SECURITY.LOG
HKLM\SOFTWARE --> software, software.LOG, software.sav
HKLM\SYSTEM --> system, system.LOG, system.sav
HKLM\HARDWARE --> (Dinamico/Volatil Hive)
HKU\.DEFAULT --> default, default.LOG, default.sav
HKU\SID --> NTUSER.DAT
HKU\SID_CLASSES --> UsrClass.dat, UsrClass.dat.LOG


CLAVES CON VALORES FORENSE

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

MRU es la abreviatura de 'most-recently-used' esta clave mantiene los ficheros guardados o abiertos normalmente desde el explorador de ficheros o bien utilizando la caja de abrir o guardar ficheros (por ejemplo Excel). También son mantenidos aquellos que se abren desde el Internet Explorer

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Esta clave corresponde a los mas utilizados o actualizados desde las aplicaciones o bien dicho de otra forma los documentos más recientes (¡¡ojo, de las aplicaciones!!)

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Esta clave mantiene la lista de ficheros ejecutados o abiertos desde explorer. Corresponde a %USERPROFILE%\Recent. Esta clave contiene tanto los ficheros locales como de red, e incluido ficheros no ejecutables

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Esta clave mantiene una lista de entradas de comandos utilizados desde el menú 'inicio->ejecutar->cmd'

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

En esta clave es donde se haya el fichero de paginación y su configuración. Es importante desde el punto de vista que se puede comprobar si esta configurado para su borrado 'ClearPagefileAtShutdown '

HKCU \Software\Microsoft\Search Assistant\ACMru

Esta clave contiene las búsquedas más recientes desde el buscador de ficheros de windows. La subclave 5603 contiene los términos de búsqueda de las carpetas y ficheros también la subclave 5604 contiene palabras y frases que se buscan en los contenido de ficheros

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Como podemos imaginar esta clave representa los programas que estan instalados en el equipo. Atentos a las fechas, ya que esa información esta almacenada en esta clave

HKLM \SYSTEM\MountedDevices
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\

Contiene las unidades montadas y asociadas físicamente a un disco o unidad de red, incluidas DVD's y USB's

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

Esta clave es de vital importancia ya que da muchísima información acerca de los USB's y tarjetas de memoria que fueron conectadas al sistema

HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run
HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce
HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices
HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce

Contiene los 'paths' a las aplicaciones que automaticamente se ejecutan durante el inicio del sistema sin intervención del usuario, aqui suele estar muchas pistas sobre malware.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Aqui se especifica cual es ele entorno de ejecución de ventanas. Por defecto es Explorer.exe. Muchos malware modifican esta clave por otros valores en el 'Shell=Explorer.exe %system%\System32.exe'

HKLM\SYSTEM\CurrentControlSet\Services\

Esta es muy facil. Contiene los servicios de la máquina

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID

Esta contiene la configuración de los adaptadores de red, IP, Gateway..etc.

HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\GUID

Lo mismo que la anterior pero para redes wifi

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Estas claves mantiene la lista de unidades de red mapeadas a caracterres, es decir M: F:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Esta clave contiene una lista de objetos como accesos directos, acceso al panel de control, por ejemplo: El GUID subkey con el caracter "5E6" corresponde a la barra de Internet Explorer y el "750" al Active Desktop

HKCU\Software\Microsoft\Internet Explorer\

Contiene las ultimas 25 URL's (fichero o path) que se ha escrito en el Internet Explorer (IE) o en la barra de Windows Explorer.


GUENO, GUENO....

Estas son algunas de las claves que en un análisis forense hay que mirar, se que me dejo algunas de interes y que tambien existen herramientas que de forma automatizada permiten la obtención de estos y otros datos

3 comentarios:

Ufff Pedro, no sabes lo que me acabas de descubrir. Cada día se van aprendiendo cosas nuevas. Muchas gracias por este gran blog :).

P.D: este año no voy a poder acudir al curso de analisis forense que das de la CAI porque estoy metido en un MCITP :)

Nada, tu tranquilo, que hay más dias que longanizas. Seguro que repetimos en el siguiente trimestre. Me alegro que el blog te sirva para algo.

Un saludo

Este comentario ha sido eliminado por un administrador del blog.