Archivo | Informática Forense Fuente RSS para esta sección

Cheat Sheet: Análisis Forense Digital

Un Cheat Sheet puede ser definido como un conjunto o agrupación de notas (comandos, instrucciones, parámetros, etc.) que sirven o se aplican como referencia inmediata para una determinada herramienta (software), lenguaje de programación, materia o procedimiento (técnica).

El siguiente Cheat Sheet proporciona diversas instrucciones de ejemplo sobre el uso de herramientas y técnicas relacionadas con el Análisis Forense Digital.

Contenido:

  • Mounting DD Images
  • Mounting NTFS DD Images
  • Imaging Systems
  • Integrity Checking
  • Sorter
  • Automated Forensic Data Collection
  • Recovering Data
  • Creating Timelines
  • String Searches
  • The Sleuthkit

Descargar Cheat Sheet de Análisis Forense / PDF (Password: www.dragonjar.org)

Este Cheat Sheet fué desarrollado y publicado por la SANS.

Laboratorio: Informática Forense – Análisis de actividad del usuario sospechoso, NTUSER.DAT, pagefile.sys

El siguiente video tutorial muestra entonces una exploración básica por la información contenida en los directorios del usuario sospechoso de la intrusión (ver0k), además muestra un primer acercamiento al fichero NTUSER.DAT, fichero que almacena las claves del registro correspondientes a ese usuario.

En dicho archivo podemos encontrarnos con el registro de envío de un e-mail ([email protected]), esto lo confirmamos luego de analizar en detalle la información contenida en el fichero pagefile.sys, el archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora, conocida como Memoria RAM.

Leer más…

Laboratorio: Informática Forense – Eventos de Seguridad en el visor de sucesos

Continuemos entonces con el análisis de los eventos registrados por Windows. Para ello seguiremos haciendo uso del visor de sucesos.

En esta sesión observaremos en detalle los sucesos registrados bajo la sección de seguridad, veamos a que se refieren estos tipos de eventos:

El registro de seguridad graba eventos como intentos válidos y no válidos de inicio de sesión, así como eventos relacionados con el uso de recursos como crear, abrir o eliminar archivos. Por ejemplo, cuando la auditoría del inicio de sesión está habilitada, se graba un evento en el registro de seguridad cada vez que un usuario intenta iniciar sesión en el equipo. Debe haber iniciado sesión como Administrador o como miembro del grupo Administradores para poder activar, utilizar y especificar qué eventos se grabarán en el registro de seguridad.

Leer más…

Laboratorio: Informática Forense – Análisis de los eventos del sistema con el visor de sucesos

Pasemos ahora a la etapa más crucial de este primer caso práctico de Análisis Forense a un Sistema Windows 2003 Server previamente comprometido.

Una vez que me hemos recolectado toda la información posible sobre aplicaciones, usuarios, Sistema Operativo, Dispositivos, etc, se hace necesario identificar con total claridad las distintas interacciones entre cada una de ellas.

Dicho de otra manera comenzaremos con un ciclo de análisis que implica mucho tiempo y mucha concentración, pues este conlleva a realizar un análisis concienzudo de cada uno de los eventos registrados por el sistema.

Leer más…

Laboratorio: Informática Forense – Análisis de Apache y WebERP

Pasemos ahora a analizar los archivos contenidos en los directorios de instalación de Apache y el WebERP que fue comprometido. (por la información que suministraron los administradores del sistema este aplicativo fue el que permitió identificar la intrusión.

Veamos algunas definiciones de interés:

Apache:

El servidor HTTP Apache es un software (libre) servidor HTTP de código abierto para plataformas Unix (BSD, GNU/Linux, etc.), Windows, Macintosh y otras, que implementa el protocolo HTTP/1.1 y la noción de sitio virtual. Cuando comenzó su desarrollo en 1995 se basó inicialmente en código del popular NCSA HTTPd 1.3, pero más tarde fue reescrito por completo. Su nombre se debe a que Behelendorf eligió ese nombre porque quería que tuviese la connotación de algo que es firme y enérgico pero no agresivo, y la tribu Apache fue la última en rendirse al que pronto se convertiría en gobierno de EEUU, y en esos momentos la preocupación de su grupo era que llegasen las empresas y “civilizasen” el paisaje que habían creado los primeros ingenieros de internet. Además Apache consistía solamente en un conjunto de parches a aplicar al servidor de NCSA. Era, en inglés, a patchy server (un servidor “parcheado”).
(Más información sobre Apache)

Leer más…

Laboratorio: Informática Forense – Organización de cuentas de usuarios e identificación de la cuenta sospechosa en el sistema

Veamos ahora como podemos obtener toda la información relacionada a una cuenta de usuario (SID, Estructura de datos de longitud variable que identifica cuentas de usuario, de grupo y de equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos internos de Windows hacen referencia al SID de las cuentas en vez de al nombre del usuario o grupo de las cuentas.)

Todas las cuentas de usuarios Windows están identificadas con un SID (Identificador de Seguridad – Security Identifier). El identificador de seguridad de los usuarios en Windows es un valor fijo en la máquina.

Leer más…

Laboratorio: Informática Forense – Identificando la Configuración del Firewall de Windows

Veamos ahora como podemos identificar por medio del análisis del registro de Windows la configuración establecida para el funcionamiento del Firewall (Cortafuegos).

Firewall de Windows:
Firewall de Windows, llamado hasta ahora Servidor de seguridad de conexión a Internet o ICF, es un límite de protección que supervisa y restringe la información que viaja entre el equipo y la red o Internet. De ese modo, se proporciona una línea de defensa contra quienes pudieran intentar tener acceso a su equipo desde fuera de Firewall de Windows sin su permiso.
(Más información sobre el Firewall de Windows)

Leer más…

Laboratorio: Informática Forense – Identificación en el registro sobre la disponibilidad del Terminal Services

Ahora veamos como podemos identificar la disponibilidad del Terminal Services en el sistema analizado, esto con el fin de identificar si este servicio está habilitado o no, para luego verificar en el registro de sucesos de Windows (tema a estudiar en próximos labs y que será determinante en este caso) si ha sido modificado su valor.

Terminal Services:
Los servicios de terminal (o terminal services) son un componente de los sistemas operativos windows que permite a un usuario acceder a las aplicaciones y datos almacenados en otro ordenador mediante un acceso por red.

Leer más…

Laboratorio: Informática Forense – Identificación y Password Cracking de Usuarios

Veamos como podemos realizar una rápida y completa identificación de los usuarios presentes en el sistema analizado, además como podemos obtener su respectiva contraseña, ello con el fin de determinar la fortaleza de las mismas y determinar si se estaba aplicando algún tipo de política sobre la complejidad de ellas.

En el siguiente videotutorial se observa como podemos obtener los nombres de usuario del directorio Documents and Settings y como podemos extraer el archivo SAM, y System (archivos de administración de cuentas de seguridad en Windows) que almacena los usuarios y contraseñas cifrados del sistema y como podemos descifrar sus respectivos passwords. (para ello hago uso de la herramienta SAMInside)
Más información sobre archivos SAM y System.

Leer más…

Laboratorio: Informática Forense – Identificación de usuarios, Zona Horaria, Interfaces de Red, Procesador y Nombre del sistema objetivo

Continuemos entonces con el análisis del registro de Windows y sigamos extrayendo información de interés que nos permita cubrir cada uno de los puntos dispuestos como objetivos del análisis.

Para ello seguiré haciendo uso de la herramienta Alien Registry Viewer. Veamos:

Así como vimos en la práctica anterior y pudimos determinar el software instalado en el sistema obejtivo, veremos como podemos determinar todos los usuarios, el sistema operativo y services pack, zona horaria, procesador, interfaces de red, entre muchos otros datos de interés.

En el video tutorial se muestra el proceso mediante el cual es posible extraer la carpeta Config del sistema objetivo. Carpeta que contiene el registro de Windows y otra información que será objeto de estudio en estas prácticas.

Leer más…