viernes, 20 de marzo de 2015

En búsqueda de Malware

Este artículo nace de un escenario real en el cual se “sospechaba” que un servidor fue infectado con un indeterminado malware, el objetivo es describir de forma general las etapas que nosotros los analistas deberíamos seguir (no estoy afirmando que sea la verdad absoluta del universo).

El análisis del Binario o Ejecutable queda fuera del alcance de este artículo, sin duda  alguna el objetivo a mediano plazo es desarrollar cada una de las etapas del análisis de malware en una serie de artículos.

Buscando Malware
Como lo comente anteriormente, cada una de las etapas será "destripada" para determinar las herramientas utilizadas y el objetivo de cada una de ellas dentro del análisis del Malware.

Saludos!


Publicado por en No hay comentarios:
Etiquetas:

miércoles, 18 de marzo de 2015

Artefactos Forenses II

Ejecución de Programas

 UserAsist

 Es una clave de registro en la cual se almacena información sobre la ejecución y uso frecuente de los programas por parte de los usuarios del sistema operativo, lo que me llamo mucho la atención que “documentación oficial” por parte de Microsoft no existe, de acuerdo a las investigaciones realizadas el algoritmo de cifrado que utiliza es ROT13 (cifrado cesar).

 En un determinado escenario analizar y reconstruir en una línea de tiempo tomando en cuenta la fecha, hora y la cantidad de veces que una aplicación fue ejecutada por una determinada sesión o usuario podría ser considerada como una evidencia fundamental para determinar una acción por parte de un usuario.
UserAsist
Last Visited MRU

Esta clave permite identificar el ejecutable específico utilizado por una determinada aplicación para abrir los archivos de que se encuentran documentados en OpenSavedMRU, de igual manera almacena la ubicación del directorio.
LastVisitedMRU
RunMRU Start Run

Esta clave de registro permite identificar las aplicaciones lanzadas desde la "ventanita" Ejecutar.

RunMRU
Application Compatibility Cache

Cualquier aplicación ejecutada en los sistemas Windows puede ser identificada en esta clave, podemos utilizar esta clave para identificar malware, tomando en cuenta datos como la fecha y hora, podríamos determinar el último momento de ejecución o actividad en el sistema.
Application Compatibility Cache.
Windows7 Jump List

 Proporciona información sobre la primera ejecución de la aplicación en el sistema operativo, la barra de tarea de windows 7 fue diseñada para permitir a los usuarios "saltar" a los elementos mas frecuentemente utilizados de forma rápida y fácilmente.
Win7 Jump List
Prefetch

Mecanismo de "cache" que permite almacenar las aplicaciones mas utilizadas en el sistema operativo, fue implementando con el objetivo de mejorar el rendimiento utilizando información pre-cargada de las aplicaciones para su ejecución.
Prefetch
Service Events

El análisis de los logs permite determinar la ejecución de servicios desconocidos al momento de iniciar el sistema operativo. Hace una revisión de los eventos relacionados con iniciar, parar o deshabilitar algún determinado servicio del sistema.
Service Events
Cuando llevamos acabo un análisis forense el determinar la ejecución, la fecha y la hora, las aplicaciones utilizadas, los archivos ejecutados y la relación de los archivos con las aplicaciones permite generar una linea de tiempo basada en datos de una manera objetiva y sin "suponer" alguna información. 

Por si no leíste el primer articulo podes leer aqui:












Publicado por en 1 comentario:
Etiquetas:

martes, 17 de marzo de 2015

Artefactos Forenses I

Cuando decidí escribir este artículo recordé el famoso principio de intercambio de Emond Locard “Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto”, a medida que pasaba el tiempo leí o escuchaba el termino “artefacto”, los sistemas operativos cuentan con procesos o mecanismos de registro sobre toda actividad realizada por el sistema o el usuario, programas utilizados, accesos, conexiones, aplicaciones, descargas desde Internet, etc.

Estos elementos nombrados anteriormente son considerados como “artefactos”,  agrupamos los artefactos de acuerdo a la actividad:
  • Archivos Descargados
  • Ejecución de programas
  • Creación y Apertura de archivos
  • Eliminación de archivos
  • Locación física
  • USB & Dispositivos
  • Uso de Cuentas
  • Uso de Navegadores

Archivos Descargados

Archivos Recientes
Correo Electrónico : Outlook  
Historial de Actividades de Skype
En un artículo anterior hablamos detalladamente de la base de datos de Sky, haciendo un análisis con la herramienta que desarrolle para facilitar las tareas de análisis de archivos sqlite específicamente para Sky
Paginas Visitadas por el Usuario

Descargas desde Internet
Podemos complementar para el "artefacto" de Downloads específicamente de Firefox en este artículo donde detallo sobre la información generada por este navegador la misma que es almacenada en el sistema operativo.

Nos vemos en el siguiente Articulo sobre Artefactos forenses!








Publicado por en No hay comentarios:
Etiquetas:

sábado, 14 de marzo de 2015

Análisis de la memoria RAM

En nuestro anterior post hablábamos de la captura o volcado de la memoria física del sistema operativo, ahora hablamos del análisis que fue realizado con el Framework Volatility.

Publicado por en No hay comentarios:
Etiquetas:

Capturando la memoria RAM

Cuando nos enfrentamos a un análisis forense digital tenemos de 2 sopas, un análisis offline o análisis “en vivo” (live) del equipo (Dispositivo) en cuestión, de acuerdo al grado de volatilidad que establece en el RFC 3227 se establece en la preservación de la memoria RAM, hoy vamos a utilizar Dumpit, FTK Imager algunas herramienta que permiten capturar la tan preciada memoria RAM del sistema operativo.

El generar una imagen forense de la memoria RAM permite posteriormente en la fase de análisis “extraer” información valiosa del Sistema Operativo, a continuación  enumero algunas de ellas:
  • Procesos ejecutados
  • Conexiones establecidas
  • Malware
  • Contraseñas
  • Servicios Cargados por el Sistema Operativo
  • Archivos en Ejecución
Es importante recordar que mientras las herramientas sean menos intrusivas en el sistema operativo será mejor, por eso seria absurdo pensar en instalar alguna aplicación en el equipo al cual se esta realizando un análisis forense digital.

Device\PhysicalMemory

En los sistemas Microsoft Windows  el objeto \Device\PhysicalMemory es el utilizado por algunas aplicaciones para acceder a la memoria física. Para capturar o volcar la memoria física las aplicaciones deben de acceder a este objeto para poder obtener el contenido.

Objeto PhysicalMemory

Dumpit
Esta herramienta permite capturar la memoria RAM (en entornos Windows de 32 y 64bits) de una forma sencilla, solo con un tímido “doble” click permite realizar la captura.
Dumpit sobre S.O Win 7 Sp1 64 bits
Es importante que la imagen forense sea firmada digitalmente con el objetivo de preservar la evidencia.
Calculando MD5 y SHA1
Existen numerosas herramientas que permiten calcular el HASH o firmar digitalmente una imagen forense, en este caso utilice hashcalc

FTK Imager

En este caso hablamos de una herramienta con un entorno grafico sencillo y facil de utilizar, esta versión es gratuita de AccessData.
FTK Imager - Capturando la memoria RAM
Tan sencillo como indicar la dirección en la cual se creara nuestra imagen forense de la memoria RAM y generar!, de igual forma como se hizo con Dumpit, se debe firmar el archivo generado para preservar la integridad del archivo.
Archivo generado de la memoria RAM
Definitivamente no son las únicas herramientas que existen para la captura o volcado del contenido de la memoria física, en nuestro siguiente post realizaremos el análisis de la imagen generada por Dumpit. 
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)
Related Posts Plugin for WordPress, Blogger...