1. De cero a DFIR
Primeros pasos en el Análisis Informático Forense
2. De cero a DFIR 2
About me…
Marcos Fuentes Martínez
@_N4rr34n6_ | N4rr34n6@protonmail.com
• Especialista en Tecnologías de la Información
y Comunicaciones
• Experto en Derecho Tecnológico e Informática
Forense, (DTIF), por la Unex
• Coautor en el blog ‘Follow the White Rabbit’,
(https://www.fwhibbit.es)
• Premio Bitácoras 2016 al mejor blog de
seguridad informática.
3. De cero a DFIR 3
¿Qué es la Informática Forense?
Aplicación de técnicas especializadas
Determinar qué es lo que ha sucedido, o no ha sucedido
https://es.wikipedia.org/wiki/C%C3%B3mputo_forense
4. De cero a DFIR 4
¿Qué busca la Informática Forense?
La verdad
Respondiendo a una serie de preguntas:
Qué
Quién
Cómo
Cuándo
Dónde
Con qué
Por qué Con integridad:
Honestidad
Objetividad
Confidencialidad
Imparcialidad e Independencia
Competencia
5. De cero a DFIR 5
Un Forense…
Debe tener entusiasmo
Debe cuestionárselo todo
Debe ser curioso
6. De cero a DFIR 6De cero a DFIR 6
¿Dónde empieza todo?
Con el Incidente de Seguridad
¿Qué es un Incidente de Seguridad?
RFC 2828
Evento ‘relevante’ que implica una
violación de seguridad
Evento que desobedece la política de seguridad
Con la recogida de evidencias
https://www.ietf.org/rfc2828.txt
7. De cero a DFIR 7
¿Dónde empieza todo?
Con la recogida de evidencias
RFC 3227
…proporcionar, a los Administradores
del Sistema, directrices sobre la
recolección y archivo de evidencia
relevante para tal incidente de
seguridad
Si la recolección se hace correctamente,
es mucho más útil…, y tiene mayor
posibilidad de ser admisible…
https://www.ietf.org/rfc3227.txt
8. De cero a DFIR 8
¿Dónde empieza todo?
Con la recogida de evidencias
RFC 3227
Orden de volatilidad
Registros y contenido de la caché.
Tabla de enrutamiento, caché ARP,
tabla de procesos, estadísticas del
kernel, memoria.
Información temporal del sistema.
Disco
Logs del sistema.
Configuración física y topología de
la red.
Documentos
Cosas a evitar
Consideraciones de privacidad
Consideraciones legales…
https://www.ietf.org/rfc3227.txt
9. De cero a DFIR 9
Tienes un buen amigo, que se llama Locard
Edmond Locard
Principio de intercambio o trasferencia
“Siempre que dos objetos entran en contacto transfieren parte del
material que incorporan al otro objeto.”
https://es.wikipedia.org/wiki/Edmond_Locard
10. De cero a DFIR 10
La Informática Forense; un proceso metódico
Principios Básicos, (No es un juego)
Autenticidad y Conservación: Acreditar que el elemento original no
ha sufrido alteraciones
Legalidad: Consentimiento explícito, firmado
Privacidad: Respetar la privacidad, (Intimidad), de los usuarios
Inalterabilidad:
Cadena de custodia
No volver a conectar el disco origen
Hacer varias copias de la copia original
No trabajar sobre la copia original, si no sobre la copia de la copia
Montar la imagen del Disco Duro como solo lectura
…
BUENAS PRÁCTICAS
El proceso debe poder ser reproducible
11. De cero a DFIR 11
La cadena de custodia, un elemento esencial
El elemento más importante de la prueba pericial
Y el elemento más débil
Debe cumplir los principios de Autenticidad y Seguridad
Garantiza la inalterabilidad de la evidencia
Documento de control de las evidencias, presente desde el
momento en que se recogen las mismas, en el mismo sitio de su
generación, en originales y copias, hasta el final de todo el
procedimiento.
Identificador único
Quién, Cuándo, Dónde, Porqué
Cualquier acción que altere la evidencia
…
12. De cero a DFIR 12
Triage
Cuando el tiempo, o el espacio, es crítico
Con el Sistema encendido, (vivo), o apagado, (muerto)
Escoger, separar, entresacar
Extracción de datos volátiles que se pierden tras la desconexión
del Sistema
Proceso para analizar y priorizar una respuesta ante un Incidente
Mediante herramientas automáticas, o manualmente
Proceso para analizar y poder priorizar las respuestas ante sistemas
comprometidos, en base a la gravedad de su condición, escogiendo,
separando y analizando evidencias, de una forma rápida, para
identificar, contener y erradicar el daño, e iniciar la pertinente
investigación y análisis forense del Sistema
13. De cero a DFIR 13
Triage
Windows Live Response: https://www.brimorlabs.com
14. De cero a DFIR 14
Triage manual
WinFE: http://mistyprojects.co.uk
16. De cero a DFIR 16
Imagen de la memoria RAM
• La imagen de memoria es el proceso de hacer una copia de la
memoria física, bit a bit
• La memoria de un ordenador se puede visualizar y analizar
• El contenido de la memoria cambia constantemente
• Se puede comparar su contenido con el del disco duro a analizar,
por la ingente cantidad de información que contiene
Volcado de memoria
17. De cero a DFIR 17
Imagen de la memoria RAM
Belkasoft RAM Capturer: https://belkasoft.com
18. De cero a DFIR 18
Imagen de disco
No es un clonado
• Proceso de hacer una copia, bit a bit, de un disco
• Con un sistema live, con el disco online / read only, …
• Las imágenes forenses se pueden realizar sobre cualquier
elemento que contenga datos
• Se leen todos los datos de principio a fin
• Proceso lento
19. De cero a DFIR 19
Imagen de disco
Precaución
• Si se opta por conectar el disco duro, (online), como otro
volumen dentro de nuestro sistema para realizar la imagen
forense, siempre
Bloquear contra escritura
HKLMSystemCurrentControlSetControlStorageDevicePolicies
WriteProtect = 1
22. De cero a DFIR 22
Imagen de disco
Paladín: https://sumuri.com
23. De cero a DFIR 23
Integridad
Hashing
• Algoritmo criptográfico de todo el disco
• Se determina si los datos de la imagen han sido alterados
• MD5: Algoritmo critográfico de 128 bits, (32 caracteres
hexadecimales)
• Colisiones: Dos tipos de datos, mismo hash
• SHA-1: Algoritmo criptográfico de 160 bits, (40 caracteres
hexadecimales).
• A más complejidad, más tiempo de cálculo
24. De cero a DFIR 24
Integridad
HashMyFiles: https://www.nirsoft.net
25. De cero a DFIR 25
Recuperación de datos
Carving
• Recuperación de ficheros eliminados
• Extracción de archivos y fragmentos de archivos
• En bruto
• Mediante la búsqueda de cabeceras y/o pies del fichero
• Todo en base en su contenido
26. De cero a DFIR 26
Recuperación de datos
PhotoRec & TestDisk: https://www.cgsecurity.org/
27. De cero a DFIR 27
Recuperación de datos
PhotoRec & TestDisk: https://www.cgsecurity.org/
28. De cero a DFIR 28
Líneas de tiempo
Timelines y Mactimes
• Realización de una lista de eventos estableciendo un orden
cronológico de toda actividad que ha sufrido un Sistema
• Muy útil para obtener una relación de la actividad de los ficheros
• Pistas sobre qué tipo de actividad ha tenido un elemento
• Todo contiene marcas de tiempo
• Algo ha pasado, en un momento determinado, en un fichero en
concreto
• Multitud de herramientas y multitud de formatos
• M, modificado – A, accedido – C, cambiado – B, creado | MACB
29. De cero a DFIR 29
Líneas de tiempo
Plaso: https://github.com/log2timeline
30. De cero a DFIR 30
Líneas de tiempo
Plaso: https://github.com/log2timeline
31. De cero a DFIR 31
Líneas de tiempo
Fte: http://www.kazamiya.net/fte
32. De cero a DFIR 32
Líneas de tiempo
Timeline Explorer: https://ericzimmerman.github.io/
33. De cero a DFIR 33
Líneas de tiempo
Timeline Explorer: https://ericzimmerman.github.io/
34. De cero a DFIR 34
Prefetch y SuperFecth
Aplicaciones ejecutadas
• Windows crea un archivo de búsqueda previa cuando una
aplicación se ejecuta por primera vez.
• Se usa para acelerar la carga de aplicaciones.
• Datos valiosos sobre el historial de aplicaciones de un usuario en
un Sistema
• Nombre del ejecutable, número de veces que se ha ejecutado, ruta
y número de serie del volumen, archivos y directorios
relacionados, última vez de ejecución, …
35. De cero a DFIR 35
Prefetch
PECmd: https://ericzimmerman.github.io/
36. De cero a DFIR 36
Prefetch
PECmd: https://ericzimmerman.github.io/
37. De cero a DFIR 37
SuperFetch
CrowdResponse: https://www.crowdstrike.com/
38. De cero a DFIR 38
Registro de Windows
El corazón de Windows
• Un paso imprescindible y fundamental en cualquier caso
• Base de muchas herramientas forenses
• Base de datos jerárquica centralizada
• Información necesaria para configurar el sistema, para uno o
varios usuarios, aplicaciones y dispositivos de hardware
• Información que Windows utiliza como referencia continuamente
• Perfiles de usuario, aplicaciones instaladas, tipos de documentos,
configuraciones, elementos de hardware, puertos, …
39. De cero a DFIR 39
Registro de Windows
Registry Explorer: https://ericzimmerman.github.io/
40. De cero a DFIR 40
Registro de Windows
Registry Explorer: https://ericzimmerman.github.io/
SOFTWARE: MicrosoftWindows NTCurrentVersion
SYSTEM: ControlSet001ControlTimeZoneInformation
SYSTEM: ControlSet001ControlWindows
SOFTWARE: MicrosoftWindows NTCurrentVersionWinlogon
SAM: DomainsAccountUsers
Amcache.hve: RootDeviceCensus
Amcache.hve: RootInventoryApplicationFile
41. De cero a DFIR 41
Registro de Windows
Registry Explorer: https://ericzimmerman.github.io/
SYSTEM: ControlSet001ControlDeviceClasses{10497b1b-ba51-
44e5-8318-a65c837b6661}
SYSTEM: ControlSet001ControlDeviceClasses{53f56307-b6bf-
11d0-94f2-00a0c91efb8b}
SYSTEM: MountedDevices
SYSTEM: ControlSet001EnumUSB
SYSTEM: ControlSet001EnumUSBSTOR
SOFTWARE: MicrosoftWindows Portable DevicesDevices
SOFTWARE: MicrosoftWindows NTCurrentVersionEMDMgmt
42. De cero a DFIR 42
Registro de Windows
Registry Explorer: https://ericzimmerman.github.io/
NTUSER.DAT
SoftwareMicrosoftWindowsCurrentVersionRun
SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
SoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist
SoftwareMicrosoftWindowsCurrentVersionExplorerWordWheel
Query
SoftwareMicrosoftWindowsCurrentVersionUnreadMail
SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoint
s2
43. De cero a DFIR 43
Registro de Windows
El corazón de Windows
El registro tiene un grupo de archivos auxiliares que contienen
copias de seguridad de sus datos
44. De cero a DFIR 44
Registro de Windows
Strings: https://docs.microsoft.com/en-us/sysinternals/
45. De cero a DFIR 45
Registro de Windows
Strings: https://docs.microsoft.com/en-us/sysinternals/
46. De cero a DFIR 46
Registros de eventos
Logs
• Archivos que contienen información sobre todas las actividades
• Los registros de eventos son generados por los mecanismos de
auditoría y están integrados en el sistema operativo Windows
• Registran información importante sobre software y hardware
• Información cronológica
47. De cero a DFIR 47
Registros de eventos
eventvwr: Visor de Eventos
48. De cero a DFIR 48
Registros de eventos
eventvwr: Visor de Eventos
49. De cero a DFIR 49
Registros de eventos
Strings: https://docs.microsoft.com/en-us/sysinternals/
50. De cero a DFIR 50
Historial
Registros de navegación
• Es el equivalente al fichero ‘Index.dat’
• Base de datos ESE, (Extensible Storage Engine)
• Información sobre caché, historial, ficheros descargados, …
• Incluso navegando InPrivate
• Y usada por varias aplicaciones de Windows, (Búsqueda en el
escritorio de Windows, Windows Mail, Live Messenger, …)
51. De cero a DFIR 51
Historial
BrowsingHistoryView: https://www.nirsoft.net
52. De cero a DFIR 52
Historial
BrowsingHistoryView: https://www.nirsoft.net
53. De cero a DFIR 53
LNK
Accesos directos
• Se genera en el Sistema cuando se abre un fichero o directorio
• Un archivo LNK es un acceso directo, o un “enlace simbólico”,
utilizado por Windows como referencia a un archivo original
• Archivo de metadatos
• Contiene el tipo de destino de acceso directo, la ubicación y el
nombre de archivo, así como el programa que abre el archivo
54. De cero a DFIR 54
LNK
LECmd: https://ericzimmerman.github.io/
55. De cero a DFIR 55
LNK
LECmd: https://ericzimmerman.github.io/
56. De cero a DFIR 56
Jumplist
Listas de salto
• Colección de archivos LNK almacenados por las aplicaciones
• Proporciona a los usuarios una indicación gráfica de los
elementos recientes a los que accede cada aplicación
• Barra de tareas de acceso rápido a los archivos de una aplicación
• Se crea cuando se abre un fichero
• Registran el mismo tipo de datos que los ficheros LNK
57. De cero a DFIR 57
Jumplist
JLECmd: https://ericzimmerman.github.io/
58. De cero a DFIR 58
Jumplist
JLECmd: https://ericzimmerman.github.io/
59. De cero a DFIR 59
Vistas en miniatura
Thumbnails
• Base de datos centralizada de imágenes de tamaño reducido
• Creado por el Sistema cuando se utiliza la vista en miniatura
• No se actualiza cuando desaparecen las imágenes
• Se incluyen en él los medios extraíbles
• Se incluyen los datos de volúmenes cifrados
60. De cero a DFIR 60
Vistas en miniatura
ThumbCacheViewer: https://thumbsviewer.github.io/
61. De cero a DFIR 61
Vistas en miniatura
ThumbCacheViewer: https://thumbsviewer.github.io/
62. De cero a DFIR 62
Volcado de memoria
Volatility Workbench: https://www.osforensics.com
63. De cero a DFIR 63
Volcado de memoria
Volatility Workbench: https://www.osforensics.com
64. De cero a DFIR 64
Volcado de memoria
Volatility Workbench: https://www.osforensics.com
65. De cero a DFIR 65
Volcado de memoria
Volatility: http://www.volatilityfoundation.org/
66. De cero a DFIR 66
Volcado de memoria
Volatility: http://www.volatilityfoundation.org/
67. De cero a DFIR 67
Mis conclusiones…
• Buenas prácticas
• Saber qué buscar
• Conocimiento, procedimiento, intuición y suerte
• Locard es tu mejor amigo
• Toda acción se convierte en un fichero
• Todo contiene marcas de tiempo
• El usuario es un ser humano y el ser humano es imperfecto
• La misma información se encuentra en distintos artefactos
• Se puede completar un análisis con un buen triage
• Se puede completar un análisis con un volcado de memoria
68. De cero a DFIR 68
Enlaces de interés DFIR
• https://www.dfir.training
• https://thisweekin4n6.com
• https://aboutdfir.com
• https://forensicswiki.org
• https://cyberforensicator.com
• https://toolcatalog.nist.gov
• https://nist.gov/publications
• https://github.com/meirwah/awesome-incident-response
• https://github.com/cugu/awesome-forensics
• https://www.ietf.org/rfc/rfc3227.txt
69. De cero a DFIR 69
Muchas gracias por su atención
@_N4rr34n6_ / n4rr34n6@protonmail.com