DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 23 de enero de 2014

ADQUISICIÓN DE FICHEROS BLOQUEADOS


Hola lectores,

Uno de los problemas que nos encontramos a la hora de realizar un análisis forense en la obtención o adquisición de discos y archivos, es encontrarnos con ficheros bloqueados o abiertos por una aplicación o dependiendo del caso por el propio sistema operativo.

Las soluciones son sencillas cuando hay que hacer un clonado y podemos apagar el dispositivo a copiar, pero no lo es tanto cuando el equipo debe de estar encendido. Por ejemplo en Windows un motivo fundamental para la realización de un buen análisis consiste en la obtención de ficheros HIVE y los registros de ‘log’ del sistema.


Ambos proporcionan datos muy valiosos y pueden esclarecer tanto lo que hizo un usuario y que ocurrió en el sistema. El problema radica cuando se copian, dado que al ser ficheros utilizados por el sistema este los bloquea.

Bloqueo en la copia de NTUSER.DAT



UTILIDADES AL RESCATE


Para la adquisición de estos ficheros en un sistema ‘vivo’ existen varias herramientas que recomiendo encarecidamente.


Hemos hablado mucho y muy bien en anteriores post sobre ella. Esta utilidad permite recuperar (entre otras cosas) cualquier fichero del sistema, incluido la $MFT, $JOURNAL, NTUSER.DAT, etc.



Es una utilidad muy útil para equipos individuales pero se convierte en tediosa cuando tenemos que automatizar procesos en múltiples ficheros o diferentes unidades de disco.


Ofrece un enfoque más sencillo y más seguro. Se trata de una herramienta basada en la consola. Es de código abierto y copia archivos NTFS mediante el acceso a disco en bajo nivel, por encima de todas las restricciones habituales. Si el archivo está bloqueado por una aplicación y Windows no tiene los permisos necesarios, no hay problema: RawCopy lo copiará independientemente.



Lo importante de utilizar esta herramienta es no equivocarse con la sintaxis exacta. El parámetro de origen debe incluir una ruta completa (no relativa), el destino no puede incluir un nombre de archivo, debe ser sólo una ruta y como de costumbre con programas de la consola, si los parámetros de origen o de destino contiene espacios, entonces hay que poner comillas.

Por último y no por ello la más importante tenemos a HDD Raw Copy Tool.


Esta herramienta crea una copia sector por sector de todas las áreas del disco duro (MBR, registros de arranque, todas las particiones, así como espacios intermedios) sin preocuparse del sistema operativo ni particiones (incluyendo las ocultas). 

Además, HDD Raw Copy puede crear una copia exacta (dd) o imagen comprimida de la totalidad de los dispositivos de disco.

Entre sus usos se puede encontrar:
  • Recuperación de datos: permite realizar una copia de la unidad dañada e intentar la recuperación con la copia.
  • Recuperación de datos: permite copiar un disco duro dañado y omitir los sectores defectuosos.
  • Migración: migrar completamente de un disco duro a otro.
  • Copia de seguridad final: Hacer una copia exacta del disco duro para usos futuros.
  • Copia de seguridad: crear una imagen de un USB y copiar / restaurar en cualquier momento.
  • Duplicar / Clonar / Guardar imagen completa de todo tipo en cualquier dispositivo.
Todas estas utilidades mencionadas son muy útiles de emplear y muy recomendables.

martes, 7 de enero de 2014

Artefactos Forenses (II) Prefetch y Windows 8



Cada vez que encendemos el ordenador, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren o utilizan habitualmente. Para ello el sistema guarda esta información en una serie de archivos en la carpeta Prefetch  de modo que la próxima vez que se encienda el equipo, Windows iniciará estos archivos para acelerar el proceso de inicio.

Podríamos decir que es una super-cache de datos, librerías y aplicaciones.

No es necesario eliminar ni vaciar su contenido. Si vaciamos la carpeta los programas tardarán más en abrirse la próxima vez que encienda el equipo.

Esta carpeta ha sido reconocida como un artefacto útil en la comunidad forense y hay algunas herramientas existentes para analizar los ficheros 'pf'. Las características que ofrece entre otras, son la última fecha de ejecución de un programa y el número de veces que se ha ejecutado. 


Ejemplo de Winprefetchview de nirsoft.com


Pero hay más que eso, ¡Mucho más! El archivo 'pf' también registra información sobre el disco, el número de serie  y la marca de tiempo de creación de la unidad. Esta información se almacena para todos los volúmenes y es muy útil para encontrar números de serie de las unidades externas utilizadas para poner en marcha las aplicaciones o para descubrir los archivos que han sido abiertos desde el propio dispositivo o disco duro externo.

El funcionamiento básicamente consiste en que el servicio "Programador de tareas" (que se ejecuta bajo 'svchost') se utiliza (entre otras cosas) para grabar páginas de memoria que son utilizadas con frecuencia por las aplicaciones, así de esta forma cuando se pone en marcha un programa, durante los primeros diez segundos, esta es monitorizada por el "Windows cache manager" y el resultado de esta información se escriben en un archivo PF cuyo nombre tendrá la nomenclatura "programa.extension-HASH.pf".

El hash es un número de 32 bits, representado en hexadecimal y se ve como por ejemplo "WRITE.EXE-A606B53C.pf". Este hash se calcula a partir de la ruta completa de la aplicación que será de la forma:

\\Device\\HarddiskVolume1\\WINDOWS\\system32\\WRITE.EXE

Por lo tanto desde el punto de vista forense una aplicación ejecutada en el sistema operativo deja rastro.

LAYOUT.INI

El resultado del procesado del programador de tareas se almacena en un archivo de nombre 'Layout.ini' en el mismo directorio Prefetch, y este fichero a su vez es utilizado por el desfragmentador de disco, dándole instrucciones para reordenar los archivos en posiciones secuenciales en el disco. Por lo tanto si desaparece este archivo nos vamos a encontrar que no funciona correctamente el defragmentador.



Ejemplo del fichero Layout.ini


ESTRUCTURA

Y observando los offset y cabeceras con un editor nos encontramos con la siguiente estructura:


Por otro lado la clave del registro que se identifica con prefetch es:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

WINDOWS 8

Windows 8 aún utiliza el mismo algoritmo para el cálculo del hash y la estructura del archivo de PF es aún la misma. El único cambio parece ser la adición de siete nuevas marcas de tiempo. Esto se debe a que ahora en el archivo se almacena la fecha y hora de las últimas ocho veces que se ejecuta la aplicación.

ESTRUCTURA


¿EN QUE PODEMOS UTILIZAR PREFETCH?

Particularmente es muy útil para temas de propiedad intelectual, con este sistema y diversas aplicaciones como la de nirsoft, podemos saber si una persona ha instalado y utilizado un determinado programa. Tuve un caso concreto de copias piratas con AUTOCAD y aunque la empresa negaba la existencia, las evidencias del directorio prefetch fueron muy claras a ese respecto. Evidentemente esto es solo una parte.

Otro caso concreto fue la utilización de prefetch para descubrir fugas de datos o ficheros que se han abierto desde dispositivos externos y ya por último, aunque algo más burdo es posible descubrir la utilización de malware y/o programas espías, así como documentos eliminados que hubieran estado en cualquier dispositivo.





Ejemplo de  descubrimiento del troyano VANQUISH

Por lo tanto en un análisis forense es muy aconsejable la utilización de esta carpeta para la búsqueda de evidencias.

Referencias:

http://www.forensicswiki.org/wiki/Windows_Prefetch_File_Format
https://googledrive.com/host/0B3fBvzttpiiSbl9XZGZzQ05hZkU/Windows%20Prefetch%20File%20(PF)%20format.pdf

jueves, 2 de enero de 2014

¡TRES, DOS, UNO...A FORMARSE!


Hola lectores,

Tiempo atrás hablando con Lorenzo de Securizame sobre la ola que viene de ciberespías, ataques en red, peritajes especialmente enrevesados y fraude a patadas, llegamos a la conclusión de quien no este 'al día' y evolucione en las nuevas técnicas y metodologías en seguridad informática, quedará fuera del mercado laboral.

Sois muchos los que me preguntáis como se puede empezar en esta materia y que se necesita para la realización de un buen análisis forense. Dependiendo del caso os he mandado algún correo y referencias para empezar, continuar o especializarse.

La formación es algo que debemos de valorar constantemente como una inversión y no como un gasto. Las empresas que durante los años venideros quieran disponer de recursos de primer nivel tendrán que invertir en especialización o futuro formando a su cuadro técnico y así estar posicionadas para la carrera.

En este sentido Lorenzo ha ido trabajando en montar un curso desde el punto de vista antes mencionado, es decir pensado en la especialización y en los alumnos.

Para ello ha congregado y conjurado a un elenco de especialistas profesionales como Álvaro AndradeJaime Andrés Restrepo DragonJARYago Jesús, Juan GarridoGiovanni CruzLuis Delgado y un humilde servidor.

En la web de Securízame hay una página explicando los detalles del curso con el temario, horario, costes, calendario, etc…

¡¡Espero que nos veamos!!

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...