Mr. Robot - Una serie para nosotros

Con el objetivo de retomar mi tan descuidado blog, hoy compartiré una pequeña entrada sobre una serie que particularmente me llama mucho la atención Mr. Robot, serie que trata sobre una Elliot un especialista en seguridad informática que trabaja en Allsafe empresa que brinda servicios sobre seguridad a diferentes empresas.

Elliot es una persona asocial que una de las formas de interactuar con la sociedad se dedicaba a comprometer la seguridad de sus “amigos” para conocer un poco mas de su vida.

Por el momento existe coherencia en los términos utilizados, herramientas y técnicas; en cada capitulo se puede observar el uso de herramientas o comandos nativos de Linux.

Incluso en un capitulo escuche el termino “cadena de custodia”, para la preservación de la evidencia de los archivos comprometidos por un grupo de Hackers denominado Fsoecity.

Saludos

iA

En búsqueda de Malware

Este artículo nace de un escenario real en el cual se “sospechaba” que un servidor fue infectado con un indeterminado malware, el objetivo es describir de forma general las etapas que nosotros los analistas deberíamos seguir (no estoy afirmando que sea la verdad absoluta del universo).

El análisis del Binario o Ejecutable queda fuera del alcance de este artículo, sin duda  alguna el objetivo a mediano plazo es desarrollar cada una de las etapas del análisis de malware en una serie de artículos.

Buscando Malware

Como lo comente anteriormente, cada una de las etapas será "destripada" para determinar las herramientas utilizadas y el objetivo de cada una de ellas dentro del análisis del Malware.

Saludos!

Artefactos Forenses II

Ejecución de Programas

UserAsist

Es una clave de registro en la cual se almacena información sobre la ejecución y uso frecuente de los programas por parte de los usuarios del sistema operativo, lo que me llamo mucho la atención que “documentación oficial” por parte de Microsoft no existe, de acuerdo a las investigaciones realizadas el algoritmo de cifrado que utiliza es ROT13 (cifrado cesar).

En un determinado escenario analizar y reconstruir en una línea de tiempo tomando en cuenta la fecha, hora y la cantidad de veces que una aplicación fue ejecutada por una determinada sesión o usuario podría ser considerada como una evidencia fundamental para determinar una acción por parte de un usuario.

UserAsist

Last Visited MRU

Esta clave permite identificar el ejecutable específico utilizado por una determinada aplicación para abrir los archivos de que se encuentran documentados en OpenSavedMRU, de igual manera almacena la ubicación del directorio.

LastVisitedMRU

RunMRU Start Run

Esta clave de registro permite identificar las aplicaciones lanzadas desde la "ventanita" Ejecutar.

RunMRU

Application Compatibility Cache

Cualquier aplicación ejecutada en los sistemas Windows puede ser identificada en esta clave, podemos utilizar esta clave para identificar malware, tomando en cuenta datos como la fecha y hora, podríamos determinar el último momento de ejecución o actividad en el sistema.

Application Compatibility Cache.

Windows7 Jump List

Proporciona información sobre la primera ejecución de la aplicación en el sistema operativo, la barra de tarea de windows 7 fue diseñada para permitir a los usuarios "saltar" a los elementos mas frecuentemente utilizados de forma rápida y fácilmente.

Win7 Jump List

Prefetch

Mecanismo de "cache" que permite almacenar las aplicaciones mas utilizadas en el sistema operativo, fue implementando con el objetivo de mejorar el rendimiento utilizando información pre-cargada de las aplicaciones para su ejecución.

Prefetch

Service Events

El análisis de los logs permite determinar la ejecución de servicios desconocidos al momento de iniciar el sistema operativo. Hace una revisión de los eventos relacionados con iniciar, parar o deshabilitar algún determinado servicio del sistema.

Service Events

Cuando llevamos acabo un análisis forense el determinar la ejecución, la fecha y la hora, las aplicaciones utilizadas, los archivos ejecutados y la relación de los archivos con las aplicaciones permite generar una linea de tiempo basada en datos de una manera objetiva y sin "suponer" alguna información. 

Por si no leíste el primer articulo podes leer aqui:

Artefactos Forenses I

Saludos!

Artefactos Forenses I

Cuando decidí escribir este artículo recordé el famoso principio de intercambio de Emond Locard “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”, a medida que pasaba el tiempo leí o escuchaba el termino “artefacto”, los sistemas operativos cuentan con procesos o mecanismos de registro sobre toda actividad realizada por el sistema o el usuario, programas utilizados, accesos, conexiones, aplicaciones, descargas desde Internet, etc.

Estos elementos nombrados anteriormente son considerados como “artefactos”,  agrupamos los artefactos de acuerdo a la actividad:

• Archivos Descargados
• Ejecución de programas
• Creación y Apertura de archivos
• Eliminación de archivos
• Locación física
• USB & Dispositivos
• Uso de Cuentas
• Uso de Navegadores

Archivos Descargados

Archivos Recientes

Correo Electrónico : Outlook  

Historial de Actividades de Skype

En un artículo anterior hablamos detalladamente de la base de datos de Sky, haciendo un análisis con la herramienta que desarrolle para facilitar las tareas de análisis de archivos sqlite específicamente para Sky

Paginas Visitadas por el Usuario

Descargas desde Internet

Podemos complementar para el "artefacto" de Downloads específicamente de Firefox en este artículo donde detallo sobre la información generada por este navegador la misma que es almacenada en el sistema operativo.

Nos vemos en el siguiente Articulo sobre Artefactos forenses!

Análisis de la memoria RAM

En nuestro anterior post hablábamos de la captura o volcado de la memoria física del sistema operativo, ahora hablamos del análisis que fue realizado con el Framework Volatility.

Introducción al análisis de memoria volátil en windows from Israel Araoz

Capturando la memoria RAM

Cuando nos enfrentamos a un análisis forense digital tenemos de 2 sopas, un análisis offline o análisis “en vivo” (live) del equipo (Dispositivo) en cuestión, de acuerdo al grado de volatilidad que establece en el RFC 3227 se establece en la preservación de la memoria RAM, hoy vamos a utilizar Dumpit, FTK Imager algunas herramienta que permiten capturar la tan preciada memoria RAM del sistema operativo.

El generar una imagen forense de la memoria RAM permite posteriormente en la fase de análisis “extraer” información valiosa del Sistema Operativo, a continuación  enumero algunas de ellas:

• Procesos ejecutados
• Conexiones establecidas
• Malware
• Contraseñas
• Servicios Cargados por el Sistema Operativo
• Archivos en Ejecución

Es importante recordar que mientras las herramientas sean menos intrusivas en el sistema operativo será mejor, por eso seria absurdo pensar en instalar alguna aplicación en el equipo al cual se esta realizando un análisis forense digital.

Device\PhysicalMemory

En los sistemas Microsoft Windows  el objeto \Device\PhysicalMemory es el utilizado por algunas aplicaciones para acceder a la memoria física. Para capturar o volcar la memoria física las aplicaciones deben de acceder a este objeto para poder obtener el contenido.

Objeto PhysicalMemory

Dumpit

Esta herramienta permite capturar la memoria RAM (en entornos Windows de 32 y 64bits) de una forma sencilla, solo con un tímido “doble” click permite realizar la captura.

Dumpit sobre S.O Win 7 Sp1 64 bits

Es importante que la imagen forense sea firmada digitalmente con el objetivo de preservar la evidencia.

Calculando MD5 y SHA1

Existen numerosas herramientas que permiten calcular el HASH o firmar digitalmente una imagen forense, en este caso utilice hashcalc

FTK Imager

En este caso hablamos de una herramienta con un entorno grafico sencillo y facil de utilizar, esta versión es gratuita de AccessData.

FTK Imager - Capturando la memoria RAM

Tan sencillo como indicar la dirección en la cual se creara nuestra imagen forense de la memoria RAM y generar!, de igual forma como se hizo con Dumpit, se debe firmar el archivo generado para preservar la integridad del archivo.

Archivo generado de la memoria RAM

Definitivamente no son las únicas herramientas que existen para la captura o volcado del contenido de la memoria física, en nuestro siguiente post realizaremos el análisis de la imagen generada por Dumpit. 

Volvemos (un poco tarde, pero volvemos) 2015!

Mi ultimo post fue escrito el 4 de enero del 2014, descuide totalmente mi blog; desde enero del 2014 hasta la fecha pasaron cosas, las mas importantes desde el punto de vista profesional son las certificaciones que obtuve la C|EH (Certified Ethical Hacker v8) & C|HFI (Computer Hacking Forensic Investigator V8).

 

Por las peripecias de la vida me aleje un poco de la parte “técnica” (la cual siempre fue y será motivo de curiosidad e inquietud de saber como funcionan las cosas), adentrando en un mundo interesante como es el mundo de las normas ISO, ISO/IEC 27001, ISO 20000 y la ultima y la mas querida (a palos) la norma ISO 22301:2012 “Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio”.

 

Para este año me encuentro en la disyuntiva de las siguientes certificaciones entre las opciones mas cercanas se encuentran: LA27001, LA22301, CISSP. Cada una de ellas con su grado de complejidad.

Hoy vuelvo a retomar la parte técnica para no olvidar mis raíces, un amigo me comento algunas cosas de las cuales se me ocurrieron un par de ideas para mis siguientes post, como introducción a este 2015 os dejo algunos de mis siguientes temas : Android Forensic, Exploiting, Pentesting, Malware Analysis