Search Results for: análisis forense

He descubierto un delito… ¿y ahora qué?

22 de junio de 2018 Por

[Nota del autor: el autor de este artículo es un técnico, no un abogado. Aunque se ha consultado con varios juristas para corroborar que no se ha dicho ninguna barbaridad legal, se recomienda encarecidamente consultar con un profesional del ámbito legal de confianza en caso necesario].

[Nota del autor 2: quiero agradecer las ideas y comentarios ofrecidas por el grupo de Telegram de Informática Forense: https://t.me/forense, cuya actividad ha propiciado e impulsado el presente artículo].

Imaginemos que María es una analista forense que está trabajando en un caso de espionaje corporativo. Mientras está analizando unos ficheros comprimidos con unos nombres extraños, descubre horrorizada que están repletos de imágenes de pornografía infantil.

Imaginemos que Pepe es un pentester que tiene como objetivo hacerse con el control de un servidor de correo, teniendo que presentar como prueba correos de media docena de altos cargos. Una vez logrado su objetivo extrae varios correos al azar de las cuentas de correo, pero comprueba con indignación que contienen información sobre el soborno a un funcionario para la concesión de una importante contratación pública.

Tanto María como Pepe han firmado un estricto acuerdo de confidencialidad con la empresa en la que trabajan, en el que se especifica claramente que “toda la información de la que tengan conocimiento durante su actividad laboral debe ser mantenida en el más estricto secreto”. [Read more…]

Caso práctico: “RATas inminentes” (I)

28 de mayo de 2018 Por
(Nota: Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.
Estos artículos forman parte de un taller de respuesta ante incidente básico. Por ello, hay cosas que se podrían hacer de una forma más eficiente y elegante… pero la idea era hacerlas de forma sencilla para que fueran fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: es posible descargar una máquina virtual de Remnux con todo lo necesario para el taller aquí (para VMWare) o aquí (formato .ova))

Respuesta ante Incidentes en menos de 15 líneas

Resumen ultra rápido de lo que es la respuesta ante incidentes:

  • Preparación: Nos preparamos para un posible ataque desplegando medidas de detección y respuesta en la Organización.
  • Detección y análisis: Detectamos posibles ataques y los analizamos para determinar si son o no falsos positivos, y en caso de un ataque analizamos su alcance gravedad.
  • Contención, erradicación y recuperación: Contenemos la extensión de los atacantes por el sistema, los expulsamos y devolvemos el sistema a la operación normal.
  • Lecciones post incidente: Analizamos el incidente en busca de medidas de mejora tanto en la seguridad del sistema como en la propia respuesta para futuros incidentes.

[Read more…]

Recuperación de ficheros borrados con Scalpel

9 de marzo de 2017 Por

Recientemente, me encontraba terminando un script en bash, realizando pruebas para comprobar que estaba funcionando correctamente cuando, tras realizar unas modificaciones al script y volver a lanzarlo, comenzó a ejecutarse un borrado recursivo de los ficheros de la máquina, el temido ‘rm -rf‘. La típica ‘noobada‘ que esperas que nunca te ocurra sucedió.

Afortunadamente, el script se estaba ejecutando en una máquina virtual de pruebas como usuario no privilegiado, por tanto la máquina seguía estando operativa. Gracias a estas medidas de precaución pude comprobar el alcance de la broma y ver que todo el directorio /home del usuario se había borrado. Dicho directorio contenía el script que estaba escribiendo de modo que, se podría decir, que el script se había fagocitado a sí mismo, llevándose con él unas cuantas horas de trabajo.

[Read more…]

Forensic CTF Writeup: Baud, James Baud (I)

19 de diciembre de 2016 Por

La informática forense es una disciplina amplia y compleja, que requiere de conocimientos profundos y en muchos casos casi milimétricos de algunas áreas. Afortunadamente, de un tiempo a esta parte los retos forenses para afinar nuestras habilidades han aumentado, y a día de hoy tenemos una buena cantidad disponible de ellos para aprender, practicar y mejorar.
Aquí tenéis los últimos que han llegado a mis manos:

Con un día libre por delante, he decidido jugar un poco con el último. ¿Por qué? Porque simple y llanamente, Bond es mucho Bond y me ha picado la curiosidad :D
[Read more…]

La buena noticia que nos trae Yahoo

15 de diciembre de 2016 Por

yahoo_logo_detailYahoo acaba de reconocer el robo de información relativa a más de 1000 millones de cuentas de sus clientes… en 2013. Sí, hace 3 años.

Ante esta situación caben diferentes interpretaciones: o bien a raíz del análisis del incidente que sufrieron en 2014 del que informaron en el mes de septiembre han extendido el análisis forense de lo ocurrido hacia atrás y han descubierto que en 2013 habían sufrido el robo de información más grande sufrido nunca por una única compañía, o bien ya lo sabían y han decidido informar de ello ahora antes de que la noticia trascendiera por otra fuente. Incluso se me ocurre una tercera posibilidad (y a lo mejor a alguno de ustedes incluso se le ocurre una cuarta): que haya sido una filtración malintencionada ahora que Verizon está formalizando una oferta de compra por Yahoo.
[Read more…]

RootedCON 2016

29 de febrero de 2016 Por

La entrada de hoy viene a cargo de Alberto Rodríguez, @albert0r. ¿Sobre qué? Evidente: la RootedCON.

En apenas unos días comenzará uno de los congresos de seguridad informática más importantes de España y Europa. Tendrá lugar los días 3, 4 y 5 de Marzo de 2016 en Kinépolis Madrid Ciudad de la Imagen.

Los días previos a la celebración del Congreso tendrán lugar los RootedLabs&Bootcamps que este año tendrán lugar en el Eurostars i-Hotel en la Ciudad de la Imagen de Madrid.
[Read more…]

PSRecon: Powershell para la Respuesta a Incidentes

13 de enero de 2016 Por

Todos los días se producen infecciones de equipos que, si bien no suponen un gran impacto en la organización en la mayoría de casos, sí conviene actuar para que el cúmulo de éstos no suponga un riesgo para la información de la misma. Además, ante el desconocimiento de cualquier actividad sospechosa que pudiera estar realizando un activo, conviente tomar medidas antes de encontrarnos con un incidente grave.

En esto consiste la respuesta ante incidentes en equipos de usuario. Aunque sabemos que los antivirus son necesarios en cualquier equipo (sin descuidar los servidores), no impiden que los sistemas acaben comprometidos, por lo que otros mecanismos de detección son necesarios, como los NIDS o HIDS. Una vez se detecta un posible compromiso en un equipo, debemos confirmarlo antes de emprender las acciones de erradicación, por lo que viene bien una respuesta rápida ante incidentes que permita analizar el equipo de forma ágil y con el mínimo impacto en la actividad del usuario.

[Read more…]

La NSA necesita tus actualizaciones

28 de diciembre de 2015 Por

Aunque la noticia tiene poco más de 12 horas (apareció ayer en algunos medios chinos), no ha tardado mucho en propagarse por los medios especializados norteamericanos. Entre otros, ArsTechnica, Bruce Schenier, Wired o Dan Kaminsky tienen breves comentarios sobre las especulaciones realizadas por los investigadores chinos Lian Li y Huan Chen, de la Peking University, a partir de una investigación realizada recientemente.

Al parecer, todo surgió por casualidad a finales de 2013, mientras Li y Chen realizaban el análisis forense de tres equipos que habían sido comprometidos. Al analizar diferentes paquetes de actualización de Adobe almacenados en el equipo (que se sospechaba que podía haber servido como vector de ataque para la infección), se detectó que todos ellos presentaban una estructura similar: la propia actualización y un bloque de datos cifrado C1 que podía variar de 65536 bytes a varios MBs.

[Read more…]

Adquisición de evidencias volátiles

14 de octubre de 2015 Por

A la hora de realizar una adquisición de evidencias en análisis forense, es importante tener en cuenta el orden de adquisición y obtener las evidencias volátiles en primer lugar. Aparte de la memoria RAM, debemos considerar otros elementos fundamentales como pueden ser registros de la caché, tablas de enrutamiento, caché ARP, procesos, etc.

En este post se pretende hacer una recopilación de todos aquellos comandos y herramientas, en entornos Windows, que nos permiten obtener dicha información volátil y sensible antes de realizar el volcado de la RAM. Aunque es cierto que alguna de esta información se puede obtener mediante dicho volcado, no está de más conocer estas herramientas para obtener los datos de una forma rápida. Una buena práctica es ejecutar todos estos comandos en un script y obtener toda la información en una única ejecución.

(Sobra decir que los comandos y aplicaciones reflejados a continuación se ejecutan bajo la responsabilidad del lector, y que recomendamos “trastear” un poco con ellos para conocerlos antes de aplicarlos a un forense real)

Información de Procesos

  • Procesos en ejecución en memoria. Herramienta utilizada: PsList. 
    pslist.exe /accepteula >> Procesos.txt
  • Especificación de procesos en ejecución de procesos y consumo de recursos. 
    tasklist.exe >> Procesos_en_uso.txt
  • Procesos en ejecución e información de cada proceso. Herramienta utilizada: CProcess. 
    cprocess.exe /stext Procesos_de_usuarios.txt
  • Árbol jerárquico de los procesos en ejecución. 
    pslist.exe -t /accepteula >> procesos_arbol.txt
  • Detalle de todos los procesos en ejecución y listado de librerías DLL asociados a cada proceso. Herramienta utilizada: ListDLL. 
    listdlls.exe /accepteula >> Procesos_dependencias.txt
  • Listado agrupado de procesos. Herramienta utilizada: OpenPorts. 
    openports.exe -path >> Mapa_agrupado_puertos_procesos.txt
  • Información sobre los ficheros y directorios que un programa tiene abiertos. Herramienta utilizada: Handle. 
    Handle.exe /accepteula >> Procesos_manejadores.txt

Información de Red

  • Configuración de las interfaces de red. 
    ipconfig /all >> Configuracion_red.txt
  • Adaptadores de red en modo promiscuo. Herramienta utilizada: PromiscDetect. 
    promiscdetect.exe >> Adaptadores_promiscuos.txt
  • Listado de las conexiones de DNS que se han realizado. 
    ipconfig /displaydns >> DNS_consultas.txt
  • Muestra las estadísticas del protocolo y las conexiones actuales de TCP/IP usando NBT (NetBIOS sobre TCP/IP). 
    nbtstat -s >> Sesion_netbios.txt
  • Información de la cache NetBios. 
    nbtstat -c >> Cache_netbios.txt
  • Transferencia de archivos sobre NetBIOS. 
    net file >> transferencia-ficheros-sobre-netbios.txt
  • Caché ARP. 
    arp -a >> arp-cache.txt
  • Listado de conexiones activas. 
    netstat -an |findstr /i "estado listening established" >> Conexiones_activas.txt
  • Relación de aplicaciones con puertos abiertos. 
    netstat -anob > Aplicaciones_PuertosAbiertos.txt
  • Tabla de enrutamiento: tabla de rutas de las redes accedidas, la máscara de red y la puerta de enlace. 
    netstat -r >> Tabla_rutas.txt
  • Conexiones activas, se especifica el protocolo, direcciones IP remotas y los puertos. 
    netstat -ano >> Conexiones_activas.txt
  • Fichero hosts. 
    type c:\windows\system32\drivers\etc\hosts >> Hosts.txt
  • Listado de todos los protocolos de red (FTP, Telnet, mailto…) que están instalados en el sistema. Herramienta utilizada: URLProtocolView. 
    urlprotocolview.exe /stext Red_Protocolos.txt

Información de Ficheros

  • Listado de las unidades de red “mapeadas”. 
    net use > UnidadesMapeadas.txt
  • Carpetas compartidas: listado de recursos compartidos. 
    net share > CarpetasCompartidas.txt
  • Listado de ficheros abiertos. Herramienta utilizada: OpenFilesView. 
    START /WAIT openedfilesview.exe /stext Ficheros_abiertos.txt
  • Ficheros remotos abiertos. Herramienta utilizada: PsFile. 
    psfile.exe /accepteula >> Ficheros_remotos_abiertos.txt

Información de usuarios

  • Usuarios remotos que han iniciado sesión. 
    net sessions >> Usuarios_remotos_ip.txt
  • Muestra las sesiones activas en el sistema. Herramienta utilizada: LogonSessions. 
    logonsessions.exe /accepteula >> Sesiones_activas.txt
  • Listado de usuarios que han iniciado sesión localmente en el equipo. Herramienta utilizada: PsLoggedOn. 
    psloggedon.exe /accepteula >> Usuarios_inicio_sesion.txt

Información útil del sistema

  • Tiempo de actividad del sistema: período desde que el equipo se encuentra encendido. Herramienta utilizada: Uptime. 
    uptime.exe >> Tiempo_encendido.txt
  • Contenido del portapapeles. Herramienta utilizada: Pclip. 
    pclip.exe >> Conetenido_portapapeles.txt
  • O bien con la herramienta InsideClipboard. 
    InsideClipboard.exe /stext “Informacion_portapapeles.txt”
  • Histórico de la consola de comandos. 
    doskey /history >> "HistoricoCMD.txt
  • Listado de servicios en ejecución. 
    sc query >> servicios_ejecucion.txt

Ya que cada maestrillo tiene su librillo es posible que utilicéis o conozcáis herramientas similares que realicen la misma función, aun así, espero que os sea de utilidad esta recopilación.

El misterioso caso de las manzanas podridas (III)

4 de mayo de 2015 Por

(Esta es una historia de ficción; los personajes y situaciones no son reales; lo único real es la parte tecnológica, que se basa en una mezcla de trabajos realizados, experiencias de otros compañeros e investigaciones llevadas a cabo.)

Como ya habíamos comentado en entradas anteriores (ver parte I y parte II), la investigación estaba siendo bastante complicada: por ahora no habíamos sacado prácticamente nada en claro, y únicamente nos quedaba por analizar la imagen forense del ultrabook de R.G.

En muchas ocasiones el análisis forense tiene unos objetivos dirigidos: comprobar la existencia de unos ficheros, verificar por qué páginas ha navegado un usuario, detectar si se ha enviado un correo electrónico, etc… En este caso el análisis es el clásico generalista, el “tú mira y si encuentras algo raro nos lo dices”. La mejor forma de atacar estos análisis es mediante 3 pasos:

1. Recuperación de ficheros borrados: Recordemos que, cuando borramos la papelera, los datos no se borran realmente sino que se quedan marcados como disponibles para su uso. En muchos casos podemos recuperar información de ese espacio disponible.

2. Creación de una línea temporal: Una vez tenemos todos los ficheros podemos crear una línea temporal, un cronograma de lo que ha sucedido en el equipo.

3. Análisis de la información: Una vez tenemos toda la información espacio temporal llamamos al Dr Wh… digo cruzamos datos y realizamos un análisis mucho más completo.

[Read more…]