DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 18 de julio de 2013

NTFSWALK y la contabilidad B

Hola lectores,

Ya estamos de lleno en plenas vacaciones y muchos de vosotros estaréis por la playita o por el monte, también me imagino que con vuestro móvil para ver las noticias más interesantes del panorama de la seguridad.

Por mi parte tenía pendiente este post (y cientos más) con más herramientas forenses por si las tenéis que utilizar.

Aprovechando tanta noticia sobre 'contabilidades B' he pensado como hacer una búsqueda forense en Windows con un solo comando y para que de una forma sencilla y utilizando la MFT (Tabla Maestra de Archivos) me indique cuando estuvieron los ficheros y en el caso de que estén que me los extraiga.

Para ello vamos a utilizar NTFSWALK de TZWorks.

NTFSWALK es una potente herramienta en línea de comandos que permite leer todas las entradas de la tabla maestra de ficheros de volúmenes NTFS. Se puede descargar desde aquí.

Está pensado para trabajar con el sistema operativo ya iniciado o bien en modo imagen o también con ficheros VMware. Su versatilidad radica en la cantidad de opciones disponibles para mostrar los datos, ya que se puede filtrar por extensión, rango de fechas y horas, nombre parciales, directorios, etc. Quizá una de las más interesantes es la posibilidad de enumerar los metadatos y extraer los contenidos de los ficheros en un directorio.

Veamos unos ejemplos:

BUSCANDO LA CAJA B

Digamos que necesitamos buscar todos los nombres en un volumen que contiene la cadena "informe_NEMO.docx" y guardar el resultado en formato csv. Por otro lado necesitamos paralelamente extraer los ficheros borrados cuya extensión sea 'docx' y posteriormente abrirlo en Excel.

La sintaxis sería la siguiente:

Buscando ficheros:

ntfswalk partición c-filter_name "informe_NEMO.docx"-csv> results.csv

Buscando ficheros borrados:

ntfswalk -partition c -filter_deleted_files -filter_ext "docx"-csv > resultados.csv

Se puede apreciar la información básica en la siguiente imagen:

Hoja de Excel que muestra los datos de la MFT y los eliminados


Otra forma, es extraer la información relacionada con el fichero 'la cajaB', donde le decimos que extraiga los ficheros TXT, XLS y LNK cuyos nombres podrían ser 'cajaB, contabilidad, conta o contab' y que en caso de que se encuentren se copien al directorio RESULTADOS.

ntfswalk -partition c  -filter_ext ".txt | .xls | .lnk" -filter_name "cajaB | contabilidad | conta | contab" -action_copy_files RESULTADOS.

También os recomiendo utilizar un formato gráfico o GUI con el programa 'gena' y que utiliza NTFSWALK para el análisis y extracción. Se puede descargar desde aquí.

Se puede apreciar el número tan elevado de opciones en GENA

GENA utilizando el motor de NTFSWALK

De esta forma tan sencilla podemos buscar evidencias o trazas relativas a un documento para poder mostrarlo ante una pericial.

jueves, 4 de julio de 2013

Asociación Nacional de Ciberseguridad y Pericia Tecnológica


Hola lectores,

Recuerdo el año 1.997 como mi primer caso sobre análisis forense. En este caso tuve que verificar las propiedades de un programa que fallaba en la compilación. Recuerdo que lo único que tenía, era mi pericia e inexperiencia dado que no había nada de documentación sobre el tema y casi nadie había oído hablar del 'Computer Forensics', como minino en el ambiente que yo me movía. 

Recuerdo que lo pasé mal, la gran cantidad de horas que tuve que hacer y la de problemas que me dio. Al final un jovencísimo Harlan Carvey dio con la solución al problema y me mandó un correo con la solución.

Desde ese momento vi la necesidad de que hubiera personas que ayudan a personas, me hubiera encantado que en ese momento un compañero, un profesor e incluso un libro me hubieran ayudado a entender el problema que otro de la talla de Harlan soluciono. Desde ese momento siempre he sido 'seguidor' de la gente que sabe y que puede aportar una luz de experiencia y que nos pueda servir para el trabajo diario de analista forense.

Hace unos días se ha constituido una nueva Asociación ANCITE. "Asociación Nacional de Ciberseguridad y Pericia Tecnológica" la cual me siento orgulloso de pertenecer ya que los valores que promulga son los adecuados con los míos. El formato, la formación y  la gente que pertenece como Lorenzo, Juan Garrido (Juanito), José Luis Narbona, José Aurelio, Rafael López, Simon Roses y muchos más. Hacen de esta Asociación una vía de futuro para todos los que nos dedicamos al análisis forense y peritajes informáticos.

ANCITE es una asociación con transparencia que mira por y para los socios, por la unión y el aprendizaje continuo y como bien dice por la excelencia profesional. Es sin ánimo de lucro y  ya desde su nacimiento hay acuerdos muy importantes con fabricantes y Universidades los cuales se desarrollarán a lo largo del mes de Septiembre.

Se están preparando entre otras cosas cursos de formación, de nivel básico, medio y avanzado para que tanto el neófito en la materia como el experto se sientan cómodos en un mercado profesional apasionante y lleno de oportunidades, todo ello bajo el paraguas y protección que ofrece la Asociación.

Se están organizando grupos de trabajo con objeto de normalizar y dignificar esta profesión y muy pronto veréis en la noticias los logros acordados.

Os animo a inscribiros y formar parte de esta gran familia que somos todos.

Referencias:



lunes, 1 de julio de 2013

Especialista en Forensics en INTECO


Hola lectores,

La pasada semana Lorenzo de Securizame y yo, impartimos un curso avanzado de 'Especialista en Computer Forensics' al personal técnico del INTECO en León.

Los contenidos se hicieron a medida para el curso y los estructuramos en cuatro módulos que abarcan desde la creación de un equipo de respuesta ante incidentes, hasta la adquisición y explotación de datos en entornos Linux y Windows.

Aquí os dejo una pequeña crónica de como fue la semana con la gente de INTECO.

Llegamos el Lunes por la tarde, en plenas fiestas de San Juan, nos dimos un paseo y nos impresionó la arquitectura de muchos de los edificios modernos y como no, de aquellos tan significativos como La Catedral o el antiguo Ayuntamiento de la Ciudad.

Catedral de León

Nos fuimos a tomar algo y ya vimos que tomar una cerveza por la ciudad significa ir cenado al hotel ya que las tapas que ponen no son tapas, son auténticos platos. Tengo que decir que Lorenzo (que está a dieta)  ya tenía en la cabeza el ir un día de la semana a comer el típico cocido maragato del cual hablare más adelante en este post.

El Martes y ya de mañana con frío en el cuerpo nos vamos camino al INTECO. Un edificio de marcado carácter modernista.




Una vez dentro de las instalaciones comenzamos el curso con una duración de 20 horas. Los alumnos que asistieron son personal especialistas en la materia. Teníamos gente del CERT, de Inteligencia y operaciones, desarrollo de tecnología de ciberseguridad, etc, vamos gente muy preparada  y de la que nos sentimos muy orgullosos de que en España podemos contar con profesionales de esta talla.

El primer módulo lo impartí yo, el segundo Lorenzo y el tercero invitamos a nuestro querido colega y amigo Juan Garrido (Juanito) el cual nos amenizo el curso con su saber y conocimiento de la materia así como sus chistes y peculiar acento 'Vasco' :-) . Recuerdo perlas como "esto es más fácil que hacer niños" o "Hacker de botón gordo". El cuarto modulo lo hicimos los tres.

 Personal especialista del INTECO

Lorenzo en el módulo 2 Forensics en Linux

Juanito con el módulo 3 Forensics en Windows

En el transcurso de la semana nuestro amigo 'Francisco Losada' nos dio asistencia y fuimos atendidos de maravilla sin que nos faltara nada de nada. El Miércoles nos visitaron para comer desde Gijón y Oviedo respectivamente David Hernández (daboblog) y  Angel (seguridad a lo Jabalí) lo cual nos metimos entre pecho y espalda una comida típica de león como la morcilla. Hablamos de todo y fue una sobremesa increíble con gente tan buena como esta.

De izquierda a derecha (Fran, Angel, yo, Lorenzo, Dabo)

Como decía anteriormente al principio de este post, mi amigo Lorenzo tenía en la cabeza un cocido 'maragato' que consiste en 'come y revienta'.

Se trata de un cocido que tradicionalmente alimentaba a los trabajadores del campo en una sola comida para un duro día de trabajo. El Cocido Maragato consta básicamente de los elementos del campo, sopa, berza, garbanzos y siete carnes. Una de las características más resaltadas de este cocido es que en los tres vuelcos se sirve 'al revés', siendo primero las carnes del cocido, luego las verduras, para acabar con la sopa.

Y como no podía ser de otra manera el Jueves comimos el cocido

El saco de carnaca

El cubo de garbanzos

El pozo de sopa

Quiero destacar que se nos unió a la 'maragatada' nuestro buen amigo Javier Berciano del INTECO y entre los cinco morimos comiendo la sopa. (R.I.P)

INTECO

Mientras tanto el curso seguía su ritmo habitual y vimos y hablamos de cosas tan interesantes como ataques APT, la tabla maestra de ficheros en NTFS, indicadores de compromiso, data carving, el volcado de memoria en Linux, detección de una intrusión, reconocimiento de un DDOS, VOIP, etc.

Ya el último día y tras un montón de prácticas sobre análisis forense en red, nos despedimos hasta la segunda edición que se realizará en Septiembre.

Todos juntos


Juanito, yo y Lorenzo con Javier y Fran


Quisiera destacar en estas líneas la labor de INTECO en el panorama de la ciberseguridad que su misión es reforzar la ciberseguridad, la confianza y la protección de la privacidad en los servicios de la Sociedad de la Información, aportando valor a ciudadanos, empresas, Administración, al sector de las tecnologías de la información y las comunicaciones y sectores estratégicos en general.

Que como compañeros tienen todo nuestro respeto y admiración ante esta dura tarea de protegernos de los malos y os aseguro que muchas veces es un trabajo en la sombra y a veces poco reconocido. Que gracias a estos profesionales podemos decir que hay alguien que piensa en cómo protegernos.

Quisiera dar las gracias a Francisco Losada por hacernos de maestro de ceremonias y que por cierto tiene un nivelazo en temas de seguridad y hacking y también queremos dar las gracias a  Alberto López y Javier Berciano ambos de INTECO por tener una visión tan clara en la concepción del curso y que han elaborado un programa muy completo para ofrecer a su personal este curso de especialización y de los cuales los profesores nos hemos sentido muy cómodos por el trato y buen nivel del curso.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...