"Security & Pure Forensics"

.

lunes, 9 de marzo de 2009

Regripper en acción

Como complemento a la entrada escrita por Javi en su blog de neosysforensics os quiero aportar tambien mi experiencia en la utilización de esta herramienta.

Hace muchos, muchos años atrás, asistí a un curso de SANS en EEUU en el que actuaba como ponente una de las personas que más ha marcado mi profesión. Estoy hablando de Harlan Carvey.

Harlan Carvey es un profesional de la seguridad que con sus experiencias y conocimientos ha ocupado un puesto privilegiado en este sector de analisis forense informático y respuesta ante incidentes.

Harlan, me pareció una persona de apariencia reservada y con unas ganas de enseñar increíbles, la forma con la que expone es muy sencilla y llega a todos los publicos.

Harlan actualmente trabaja para IBM pero su experiencia es tan larga que no cabria en este post. Como reseña decir que es el autor del libro "Windows Forensic Analysis" y también autor de 'regripper' una utilisima herramienta diseñada en Perl para el análisis del registro de Windows y que he utilizado múltiples veces con resultados excepcionales.

De esta herramienta quiero hablar ya que es otra de las indispensables en nuestra caja de herramientas.

Repasando lo que escribi en este anterior post, recordamos que los ficheros que aparecen en \windows\system32\config, son

  1. Default
  2. Sam
  3. Security
  4. software
  5. System
Estos ficheros, aparte del “ntuser.dat”, son denominados ficheros hive, es decir, ficheros en los que se acumula la información del registro en forma de cadenas, claves y valores. Todos estos ficheros son guardados regularmente durante el apagado del sistema, salvando la configuración del registro de la máquina.

Precisamente una de las causas más comunes que nos impidan arrancar nuestro sistema, es la corrupción de estos ficheros hive; por diversas causas, tales como un fallo hardware, cortes de alimentación, etc.

Tambien en un analisis forense es de obligado repaso el analizar estos ficheros ya que nos puede determinar una intrusión, fuga de información o ataques por troyanos.


¡¡REGRIPPER EN ACCION!!

RegRipper es una herramienta que se puede llevar en un Pendrive y que permite abrir secciones de registro y analizarlas, dando como resultado un fichero de texto. Se puede descargar desde la web 'http://regripper.net/'

Como sabemos, los ficheros del registro están bloqueados en una sesión normal, y deberemos de copiar los ficheros o ejecutar RegRipper desde un live-cd.

Usar RegRipper es fácil. Tras ejecutar la interfaz gráfica, tienes que elegir primero el fichero de registro. Luego, tras especificar la ruta de guardado del informe y el tipo de plugin adecuado, el botón Rip It comenzará la lectura.

Vamos a ver algún ejemplo tras copiar con HELIX3 de un Windows 2003 Server los ficheros 'hive' SAM, SYSTEM y SOFTWARE y tras ejecutar Regripper el resultado que nos ofrece.



En esta pantalla nos da información relativa a la máquina, versiones del SO y licencias:



En esta siguiente aparece las aplicaciones que tiene instalado el sistema operativo:



En esta otra nos muestra los perfiles que están creados y como algo muy importante las fechas de ultima modificación, punto interesante para nuestra 'time line':



Ni que decir tiene que podemos obtener información de sus direcciones IP's y los dispositivos que se conetarón por USB:





También es muy util el 'plugin' SAM ya que nos desvelará los usuarios que estan creados en el sistema.



Futuro:

O mejor dicho presente, ahora, gracias a Brendan Dolan-Gavitt's, regripper se puede utilizar dentro del framework de Volatility y poder lanzarlo contra una imagen de memoria. Desde aquí podemos ver algún ejemplo.

También de momento solo se puede utilizar desde en línea de comandos y solo parece funcionar en Linux

Conclusiones:

RegRipper es un programa apto pensado para usuarios avanzados, quienes valorarán su función de análisis rápido. Si bien se limita a la lectura e interpretación por parte del analista, su uso requiere extremar precauciones y, sobre todo, conocer la ruta de los ficheros a analizar.

4 comentarios:

Si no te importa voy a enlazar tu articulo como un Addendum para complementar la entrada de mi blog.

Saludos

Javi, sin problemas, de ahora en adelante no me preguntes, tienes toda mi autorización para lo que gustes.

Saludos

Mamma mia, me estoy leyendo el libro de Harlan Carvey y es todo una joya :).

Y ya que tienes la sam del sistema, tampoco estaría de más reventar las passwords de los usuarios locales con ophcrack. Posiblemente encontremos ficheros cifrados con esas claves (EFS) o bien podamos reutilizarlas para acceer a otro tipo de datos, como cuentas de correo electrónico o similares. Ya sabéis, por aquello que "aconsejan" de reutilizar las passwords tanto como se pueda ...