Análisis del Timeline de una evidencia con Plaso

Plaso, evolución de la herramienta conocida como log2timeline, es una herramienta desarrollada en Python que permite extraer la línea temporal de todos los eventos ocurridos en un sistema. Admite como como datos de entrada ficheros, discos virtuales, dispositivo de almacenamiento , algún punto de montaje o un volcado de imagen de disco. Como nota aclaratoria aunque la nueva herramienta pasa a denominarse plaso, para ejecutarla se hará a través de “log2timeline.py” lo cual puede llegar a causar confusión.

Plaso nos ofrece un conjunto de herramientas, que de forma resumida son:

  • log2timeline: extraer el time line de todos los eventos.
  • psort: procesamiento de los datos extraídos.
  • pinfo: muestra los datos del fichero de almacenamiento plaso.
  • image_export: exporta ficheros de una imagen.

Log2timeline se encarga de analizar los datos recibidos como parámetro de entrada generando un fichero de salida con formato “plaso”, el cual contendrá toda la información de los datos analizados. Dicho fichero de almacenamiento plaso contendrá información como:

  • Cuando se ejecutó la herramienta.
  • Metadatos de los ficheros analizados de los datos de entrada.
  • La información parseada.
  • Número de eventos extraídos de los datos de entrada.

Para las pruebas realizadas he optado por usar una imagen de prueba en formato EnCase (parte1 y parte2), accesible para cualquiera que quiera realizar las pruebas.

[Read more…]

Análisis tráfico de red dispositivos móviles

En un post anterior se explicó como capturar tráfico de red en una red local utilizando para ello una Raspberry Pi 3.

A continuación vamos a ver cómo podemos analizar el tráfico que hemos capturado en formato pcap.

La primera opción por la que me decanto es la herramienta Capanalysis. Esta herramienta nos permite ver de una forma gráfica las peticiones realizadas, filtrar por tipo de tráfico (HTTP, DNS, ARP, …), filtrar por IP, país, etc. Por tanto, permite acceder a toda esta información de una forma sencilla y visual.

En primer lugar, instalamos la aplicación de Capanalysis. En mi caso he optado por instalarlo en una máquina virtual de la distribución Caine, la cual está orientada a realizar análisis forenses y está basada en Ubuntu 14.04.
[Read more…]

Captura tráfico de red con Raspberry Pi

Llevo tiempo queriendo analizar el tráfico de red de varios dispositivos móviles, en concreto dos móviles chinos y una tablet. Siempre me he cuestionado qué datos enviarán, a dónde ¿Y si el móvil está infectado y está exfiltrando información? Hay varias razones por las que desconfiar de este tipo de dispositivos, aunque entraremos más en detalle acerca de este tema en futuros posts. Como primer paso vamos a centrarnos en cómo podemos capturar el tráfico de red de nuestros dispositivos.

Como bien sabemos, los dispositivos móviles pueden conectarse a una red de datos a través de la conexión 3G/4G o bien a través de una red WiFi. Por lo que en caso de estar exfiltrando información tendríamos que analizar ambas vías, pero en nuestro caso sólo se va a hacer a través de WiFi (de momento).

Para analizar el tráfico de red he optado por una solución sencilla y al alcance de cualquiera, la opción es Raspberry Pi 3 Modelo B.
[Read more…]

USB Rubber Ducky en Android

En este post quiero continuar hablando de USB Rubber Ducky. En el post anterior hablé sobre USB RUbber Ducky y vimos un ejemplo de uso en sistemas Windows. Hoy quiero mostrar que también podemos crear payloads para otros sistemas como Android o MAC.

En el caso de dispositivos Android, debemos tener en cuenta que estos sistemas soportan conectar dispositivos HID, por lo tanto, podemos conectar teclados externos y manejar y controlar el dispositivo mediante el teclado.

Tras realizar unas pruebas, mediante un teclado externo, os comparto una serie de comandos que podríamos usar para manejar un dispositivo Android (las pruebas han sido realizadas con un dispositivo Android 4.4.2 KitKat):

[Read more…]

Me pareció ver un lindo patito: USB Rubber Ducky

Hace poco estuve trasteando con un juguetito nuevo que me regalaron y se trata del USB Rubber Ducky. Sí, con qué poco se puede mantener a un friki entretenid@ durante días! (Señores Reyes Magos, este año he sido muy buena también, ejem ejem).

De forma resumida, USB Rubber Ducky es una herramienta hardware de hacking, internamente tiene un procesador, aunque a simple vista parece un USB, aunque emula ser un teclado, de tal forma que cuando se conecta a un ordenador/dispositivo éste lo reconoce como un teclado y ejecuta las instrucciones que tenga cargadas en una memoria SD que lleva.

[Read more…]

Adquisición de evidencias volátiles

A la hora de realizar una adquisición de evidencias en análisis forense, es importante tener en cuenta el orden de adquisición y obtener las evidencias volátiles en primer lugar. Aparte de la memoria RAM, debemos considerar otros elementos fundamentales como pueden ser registros de la caché, tablas de enrutamiento, caché ARP, procesos, etc.... Leer Más

El estafador estafado

En un post anterior hablé sobre el crimen organizado en el mercado negro y siguiendo un poco la misma temática, vamos a ver de forma breve en este post algunos de los delitos orientados en este caso al sector bancario, además de las técnicas y métodos que utilizan los delincuentes para llevarlos a cabo.

Phishing

Probablemente es la reina de las técnicas de fraude online. El phishing es una técnica empleada por los delincuentes que mediante ingeniería social o por distribución de malware tiene como finalidad obtener información privada para acceder de manera no autorizada a determinados servicios, suplantando para ello la identidad legítima del titular.

La vía más utilizada de esta técnica es mediante correo electrónico, aunque existen variantes, descritas a continuación, dependiendo del método que se emplee.

[Read more…]

Organización dentro del mercado negro

Cuando se habla de un delito informático, se tiende a pensar en una persona al otro extremo de la red con altos conocimientos técnicos que está intentando lucrarse ilícitamente. Pero lo cierto es que detrás de estos delitos no suele haber una única persona, sino organizaciones complejas con diferentes roles y actores que gestionan, administran y ejecutan sus acciones.

El fraude a través de la red ha tenido una gran evolución, lo que ha ocasionado una sofisticación mayor en la manera de cometer los ciberdelitos utilizando infraestructuras cada vez más complejas. Este aumento en el grado de complejidad implica que los propios delincuentes no pueden abarcar todo el funcionamiento y métodos de ataque sobre una infraestructura u organización.

Al igual que hay en el mundo mercantil desarrollo de software, operaciones de compra/venta, colaboraciones, rivalidades, etc., lo mismo ocurre en el mundo mercantil “negro” de forma paralela. Sin embargo, en esta ocasión hablamos de desarrollo de exploits, compra/venta de exploits y vulnerabilidades, colaboraciones entre organizaciones criminales, etc. De la misma forma, existe una segregación de tareas definida en la que podemos identificar varios roles claramente, en función de la tarea que realizan en la cadena criminal.

[Read more…]

Alternate Data Stream: ADS – Flujo de datos alternativos en NTFS

Un flujo de datos alternativo (ADS – Alternate Data Stream) es una característica del sistema de ficheros NTFS que consiste en incluir metainformación en un fichero. Podríamos decir que son ficheros secundarios “ocultos” guardados dentro de otros ficheros. El objetivo inicial es almacenar información extra acerca del fichero principal, pero esta técnica también fue muy usada para propagar virus de forma transparente para el usuario.... Leer Más