Incident Response, Security and Forensics"

.

viernes, 20 de diciembre de 2013

Artefactos forenses (I)

ARTEFACTOS DEL SISTEMA


Hola lectores,

Son muchas las ocasiones que cuando uno hace un análisis forense y no encuentra 'pistas' o evidencias tiene que pelear con los rastros que dejan las aplicaciones o el propio sistema operativo.

Con objeto de revisar las nuevas características desde el punto de vista forense que nos ofrece Windows 7 y Windows 8 voy a escribir unos cuantos post sobre este tema.

¿Os habéis preguntado alguna vez que es un artefacto en Windows?

Al igual que las versiones anteriores de Windows, la versión 7 y 8 dispone de mecanismos que dejan rastro de la actividad de los usuarios, de los programas que se utilizan, los accesos, conexiones y aplicaciones, si han navegado, descargado o ejecutado algún programa.

Estos elementos son comúnmente llamado "artefactos". Veamos en esta primera parte algunos interesantes.

Lista de artefactos:

  • Logs o ficheros de sistema
  • Tabla maestra de archivos MFT 
  • El registro de Windows
  • El visor de Eventos
  • Los ficheros Prefetch
  • Los accesos directos
  • La papelera
  • Metadatos en imágenes y documentos
  • Ficheros de hibernación y memoria
  • Copias de seguridad 
  • Volume Shadow
Empezamos con los artefactos de sistema, espero que os sea de ayuda.

ARTEFACTOS DE SISTEMA

En la siguiente tabla podemos ver una serie de ficheros propios del sistema operativo y la función que desempeñan.


REGISTROS VARIOS SOBRE LA INSTALACIÓN



%WINDIR%\setupact.log


Contiene información acerca de las acciones de instalación durante la misma.

EVIDENCIAS: Podemos ver fechas de instalación, propiedades de programas instalados, rutas de acceso, copias legales, discos de instalación...


%WINDIR%\setuperr.log

Contiene información acerca de los errores de instalación durante la misma.

EVIDENCIAS: Fallos de programas, rutas de red inaccesibles, rutas a volcados de memoria...


%WINDIR%\WindowsUpdate.log

Registra toda la información de transacción sobre la actualización del sistema y aplicaciones.

EVIDENCIAS: Tipos de hotfix instalados, fechas de instalación, elementos por actualizar...




%WINDIR%\Debug\mrt.log

Resultados del programa de eliminación de software malintencionado de Windows.

EVIDENCIAS: Fechas, Versión del motor, firmas y resumen de actividad.


%WINDIR%\security\logs\scecomp.old

Componentes de Windows que no han podido ser instalados.

EVIDENCIAS: DLL's no registradas, fechas, intentos de escritura,rutas de acceso...



%WINDIR%\SoftwareDistribution\ReportingEvents.log


Contiene eventos relacionados con la actualización.

EVIDENCIAS: Agentes de instalación, descargas incompletas o finalizadas, fechas, tipos de paquetes, rutas...




%WINDIR%\Logs\CBS\CBS.log


Ficheros pertenecientes a ‘Windows Resource Protection’ y que no se han podido restaurar.

EVIDENCIAS: Proveedor de almacenamiento, PID de procesos, fechas, rutas...



%AppData%\Local\Microsoft\Websetup (Windows 8)

Contiene detalles de la fase de instalación web de Windows 8

EVIDENCIAS: URLs de acceso, fases de instalación, fechas de creación, paquetes de programas...



%AppData%\setupapi.log 

Contiene información de unidades, services pack y hotfixes.

EVIDENCIAS: Unidades locales y extraibles, programas de instalación, programas instalados, actualizaciones de seguridad, reconocimiento de dispositivos conectados...


%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
%WINDIR%\PANTHER\*.log,xml

Contiene información de acciones, errores y estructuras de SID cuando se actualiza desde una versión anterior de windows.

EVIDENCIAS: Fechas, rutas, errores , medio de instalación, dispositivos, versiones, reinicio, dispositivos PnP...



%WINDIR%\INF\setupapi.dev.log

Contiene información de unidades Plug and Play y la instalación de drivers.

EVIDENCIAS: Versión de SO, Kernel, Service Pack, arquitectura, modo de inicio, fechas, rutas, lista de drivers, dispositivos conectados, dispositivos iniciados o parados...


%WINDIR%\INF\setupapi.app.log

Contiene información del registro de instalación de las aplicaciones.

EVIDENCIAS: Fechas, rutas, sistema operativo, versiones, ficheros, firma digital, dispositivos...



%WINDIR%\Performance\Winsat\winsat.log

Contiene trazas de utilización de la   aplicación WINSAT que miden el rendimiento del sistema.

EVIDENCIA: Fechas, valores sobre la tarjeta gráfica, CPU, velocidades, puertos USB...





*.INI

Contiene configuraciones de programas

EVIDENCIA: Rutas, secciones, parámetros de usuarios...


%WINDIR%\Memory.dmp

Contiene información sobre los volcados de memoria.

EVIDENCIA: Rutas, programas, accesos, direcciones de memoria, listado de usuarios, contraseñas, conexiones...


EL.CFG
Pid.txt

Estos archivos se usan para automatizar la página de entrada de la clave de producto en el programa de instalación de Windows.

EVIDENCIA:Contiene el código de producto y la versión instalada



LOG DE EVENTOS DE WINDOWS


%WINDIR%\System32\config
%WINDIR%\System32\winevt\Logs


Contiene los logs de Windows accesibles desde el visor de eventos.

EVIDENCIAS: Casi todas. Entradas, fechas, accesos, permisos, programas, usuario, etc...


MICROSOFT SECURITY ESSENTIALS


%PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support

%PROGRAMDATA%\Microsoft\Microsoft Security Client\Support



Logs del motor de antimalware

EVIDENCIAS: Fechas, versión del motor, programas analizados, actividad del malware...