Uploaded by Andrés Manuel Murillas Gallego

LO2 - Day2

advertisement
Unidad 24
Forensics
LO2: Procesamiento Forense II - Registro
Artefactos de Registro - Hives
El registro de Windows se divide en 4 hives de sistema y 2 hives de usuario de los que
podemos extraer mucha información forense.
Los hives de sistema son:
• SYSTEM: Datos generales del sistema operativo
• SAM: Datos de usuarios
• SECURITY: Datos de seguridad del sistema
• SOFTWARE: Datos de aplicaciones del sistema
Los hives de sistema en Windows suelen estar ubicados en la misma carpeta:
C/Windows/System32/config/
Los hives de usuario son:
• NTUSER.DAT: Configuraciones de usuario
• USRCLASS.DAT: Su importancia radica sobre todo en las ShellBags
Los hives de usuario suelen estar ubicados en:
%UserProfile%\NTUSER.DAT
%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat
LO2: Procesamiento Forense II - Registro
Artefactos de Registro - Datos
SISTEMA: De los hive de sistema se pueden extraer datos como:
• Nombre del PC
• Ips
• Zona Horaria
• Hora de arranque y de apagado
• Dispositivos conectados (Perifericos, discos, pendrives…)
• Servicios
• Versión de Windows
• Carpetas compartidas
• ….
USUARIO:
•
•
•
•
Shellbags (Carpetas accedidas)
Ultimas aplicaciones ejecutadas
Últimos documentos abiertos
….
LO2: Procesamiento Forense II - Registro
Artefactos de Registro - RegRipper
Para la extracción de artefactos de registro usaremos la herramienta RegRipper.
RegRipper consta de mas de 200 plugins para la extracción de información de registro. Cada
plugin esta destinado a un hive (o varios) en concreto. Para ver el listado de plugins y a los
hives para los que están diseñados podemos usar el comando:
rip.pl -l
Para ejecutar Regripper simplemente debemos de pasarle el path del hive y el plugin a
ejecutar:
rip.pl -r <path del hive> -p <plugin>
Por ejemplo:
rip.pl -r WINDOWS/system32/config/system -p compname
LO2: Procesamiento Forense II - Eventos
Artefactos de Eventos- EVT/EVTX
Los eventos de Windows muestran un registro de mensajes de aplicaciones y del sistema,
incluidos errores, mensajes de información y advertencias. Es una herramienta útil para
solucionar todo tipo de problemas de Windows y aporta mucha información a la informática
forense.
Estos eventos se almacenan en unos ficheros EVT, en el caso de Windows XP/2003, o EVTX
en sistemas posteriores a Windows Vista/7/2008.
Estos archivos suelen encontrarse en la carpeta:
C:\Windows\System32\winevt\Logs
LO2: Procesamiento Forense II - Navegacion
Artefactos de Navegación
En el mercado podemos encontrar distintos tipos de navegadores de internet tales como
Internet Explorer, Microsoft Edge, Firefox, Chrome, Opera…
Todos ellos utilizan herramientas de mejora de experiencia de usuario como:
• Historial: Para poder recordar fácilmente las ultimas paginas visitadas
• Cache: Para acelerar el acceso a tus paginas mas visitadas
• Estadísticas: Para conocer tus paginas mas visitadas y mejorar la experiencia de acceso
• Búsquedas: Los navegadores habitualmente recuerdan tus búsquedas mas habituales
• Bookmarks: Para tener acceso rápido a las paginas mas usadas
Todas estas herramientas dan una información de mucho valor a la informática forense, ya
que extrayendo la información de estos artefactos podemos saber mucho de los usuarios de
un dispositivo.
LO2: Procesamiento Forense II - Plaso
Supertimeline - Plaso
En el pasado hemos visto las ventajas del timeline de disco que nos permite hacer fls +
mactime. El supertimeline es un paso mas allá de este concepto, imaginemos que no solo
podemos ordenar temporalmente los eventos de ficheros de un sistema de archivo sino que a
este timeline le añadimos múltiples eventos extra como por ejemplo, eventos de Windows, de
registro o de navegación.
Esto es exactamente lo que hace Plaso. Plaso con todas sus herramientas asociadas se
puede considerar una navaja suiza del forense por la gran cantidad de artefactos que puede
parsear, ordenarlos temporalmente y convertirlos al formato que mas cómodo sea para el
investigador para su posterior análisis.
LO2: Procesamiento Forense II - Plaso
Supertimeline – Plaso – log2timeline
La primera herramienta que usaremos será “log2timeline.py”. Esta herramienta nos permite
parsear artefactos de muchos tipos y almacenar su información en una base de datos propia
de plaso.
Hay varios conceptos básicos que debemos de conocer de plaso para trabajar con el:
•
Parsers: Los parsers son aquellos elementos de plaso que se encargan de extraer
información de artefactos completos. Plaso puede crear agrupaciones de parsers
llamados plugins o presets. Los parsers se puede ver con el comando:
log2timeline.py --parsers list
•
Filters: Plaso por defecto intenta extraer información de cada elemento del disco
independientemente si el elemento esta relacionado con el parser o no. Esto en grandes
evidencias puede generar un retraso en la ejecución enorme. La función de los filters es
dar la información a plaso de donde debe de ejecutar los parsers para si ir mucho mas
rápido. Los filtros se pueden encontrar en la carpeta:
/usr/share/artifacts
LO2: Procesamiento Forense II - Plaso
Supertimeline – Plaso – log2timeline
Para ejecutar log2timeline usaremos el siguiente comando:
log2timeline --parsers <parsers> --artifact_filters <filter> --storage_file <db file>
<evidence>
Por ejemplo, para procesar la navegación de una evidencia podemos usar:
log2timeline --parsers webhist --artifact_filters BrowserCache,BrowserHistory -storage_file webhist.db evidence.e01
O para eventos de Windows:
log2timeline --parsers winevtx,winevt--artifact_filters WindowsEventLogs --storage_file
events.db evidence.e01
LO2: Procesamiento Forense II - Plaso
Supertimeline – Plaso – log2timeline
Para ejecutar log2timeline usaremos el siguiente comando:
log2timeline --parsers <parsers> --artifact_filters <filter> --storage_file <db file>
<evidence>
Por ejemplo, para procesar la navegación de una evidencia podemos usar:
log2timeline --parsers webhist --artifact_filters BrowserCache,BrowserHistory -storage_file webhist.db evidence.e01
O para eventos de Windows:
log2timeline --parsers winevtx,winevt--artifact_filters WindowsEventLogs --storage_file
events.db evidence.e01
LO2: Procesamiento Forense II - Challenge
Challenge I – Data Leakage
Procesa la evidencia de Data Leakage e intenta contestar a las siguientes preguntas:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Nombre del equipo
Zona horaria
Datos del sistema operativo
Lista todas las cuentas de usuario en el sistema
¿Cuando se apago el equipo por ultima vez?
¿Quién fue el ultimo usuario en logarse en la maquina? ¿Cuando?
¿Qué IP tenia la maquina?
¿Qué navegadores son los mas usados por el sospechoso?
¿Qué paginas visitaba el sospechoso?
¿Qué tipo de búsquedas hacia en internet?
LO2: Procesamiento Forense II - Challenge
Challenge II – Data Leakage
Instala la ultima versión de Autopsy (https://www.autopsy.com/) e intenta contestar a todas
las preguntas del Challenge I que puedas
¡Muchas gracias!
MIGUEL QUERO
miguel.quero.rodriguez@gmail.com
Download