Documentos de Académico
Documentos de Profesional
Documentos de Cultura
The Sleuth Kit es un conjunto de herramientas open source para elanlisis de imgenes de discos.
Inicialmente desarrollada para plataformas UNIX, esta suite actualmente se encuentra disponible
tambin para OS X y Windows. Adems, TSK cuenta con una interfaz grfica conocida como Autopsy
que agrupa todas sus herramientas y plugins, cuya versin para Windows se utilizar en este post.
Cuando se abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear un nuevo caso, o abrir
uno existente, donde un caso es la unidad lgica que contendr todo lo relacionado a la investigacin.
Por lo tanto, al crear un caso se ingresa informacin como su nombre y nmero y la persona que
examinar los datos. El siguiente paso consiste en asociar al caso uno o ms orgenes de datos, entre
los cuales se encuentran los discos fsicos conectados a la computadora de anlisis, o una imagen forense
que se ha adquirido previamente de la computadora a ser investigada, con cualquiera de
las herramientas que hemos visto en otros posts. Como ltimo paso para la creacin del caso, debe
configurarse los mdulos a utilizar para el anlisis, lo cual se observa en la siguiente imagen:
Estos mdulos son los que permitirn el descubrimiento de informacin relevante y se describen a
continuacin:
Recent Activity: extrae la actividad reciente que se ha realizado en la computadora bajo investigacin.
Esto incluye los documentos recientemente abiertos, dispositivos conectados, historial web, cookies,
descargas y marcadores, por ejemplo.
Hash Lookup: permite agregar bases de datos con valores de hash para archivos conocidos, como los
archivos del sistema operativo o de aplicaciones instaladas. As, puede ahorrarse mucho tiempo al
evitar realizar bsquedas en estos archivos conocidos.
Archive Extractor: permite recuperar archivos eliminados, basndose en los metadatos residuales que
A partir de este momento comienza en forma automtica el anlisis con los mdulos seleccionados para la
imagen forense cargada en el caso. El progreso de cada etapa se muestra en la parte inferior derecha y
los resultados se van actualizando en la vista de rbol, como se observa en la siguiente imagen:
Se observa que Autopsy realiza la extraccin de contenido muy valioso para una investigacin, como el
historial web, bsquedas web realizadas o documentos recientemente abiertos, lo cual demorara
mucho tiempo y sera tedioso de realizar para el investigador en forma manual. Luego, en la siguiente
imagen se observa el historial web encontrado una vez que termina el proceso, para la imagen forense de
un disco de prueba:
En este caso se ha resaltado el ltimo resultado, el cual lleva a un archivo de mIRC con una lista de
canales a los que posiblemente se conectaba el usuario que est siendo investigado. Adicionalmente, el
sistema de archivos presente en la imagen forense puede ser recorrido de forma jerrquica, pudiendo
observar las particiones, as como tambin los sectores no asignados en el disco:
En la imagen anterior se observa que el sistema de archivos es de tipo NTFS, que el sistema
operativo aparenta ser Windows XP y que existe un usuario que se llama Mr. Evil. Luego, a partir de
simple inspeccin y del anlisis del registro de Windows, puede obtenerse informacin como lazona
horaria utilizada, el nombre bajo el cual fue registrado el sistema operativo, las aplicaciones
instaladas, los documentos del usuario a investigar o el ltimo usuario que inici sesin. Tambin se
observa que se ha recuperado de entre los archivos borrados la carpeta $Unalloc, que si bien en este
caso es irrelevante, permite ver la capacidad de obtener archivos borrados a partir de susmetadatos.
Tambin es importante destacar los sectores no asignados en el disco (vol1 y vol3) a los cuales Autopsy
permite aplicar la tcnica de carving para identificar archivos a partir de losencabezados ms
comunes.
Otra funcin muy interesante de Autopsy es aquella que agrupa los archivos en categoras, de tal
manera de poder ver rpidamente la cantidad de imgenes, audio o documentos presentes en el sistema
de archivos, clasificado por extensin:
Adicionalmente (aunque no se ve en la imagen anterior) Autopsy clasifica los archivos de acuerdo con su
ltima fecha de acceso o con su tamao, y permite el rpido acceso a los archivos eliminados.
Una tcnica fundamental en el anlisis de imgenes forenses es la bsqueda por palabras clave, dado
lo poco prctico que resultara para un investigador buscar pruebas de un delito inspeccionando archivo
por archivo. As, Autopsy permite definir un listado de palabras o expresiones a buscar en todos los
archivos y sectores del disco en anlisis, lo cual se observa en la siguiente imagen:
En este caso se ha definido una lista con tres palabras con el objetivo de encontrar evidencia que conecte
al individuo con un caso particular de hacking. Luego, el proceso de indexado realiza la bsqueda de
estas palabras construyendo un ndice y al finalizar el mismo es posible buscar en forma inmediata cada
una de estas palabras clave:
En la imagen se observa que hay 55 hits para la palabra crack y entre los resultados se encuentra una
herramienta para romper contraseas. Adems, se han encontrado 288 coincidencias para la palabra
illegal, lo cual puede develar informacin muy til en el caso de que se recuperenconversaciones,
correos electrnicos almacenados o cualquier otro tipo de archivo que conecte al sujeto investigado
con actividades ilegales.
Herramientas antiforenses
Este tipo de herramientas puede ser la pesadilla de un investigador de delitos informticos. Los
programadores disean las herramientas anti forenses para hacer difcil o casi imposible recuperar
informacin durante una investigacin. Esencialmente, las tcnicas anti forensics se refieren a cualquier
mtodo, artilugio o software designado para frustrar una investigacin informtica.
Hay docenas de maneras para que la gente oculte la informacin. Algunos programas pueden engaar a
los ordenadores cambiando la informacin en las cabeceras de los archivos. Una cabecera de archivo es
normalmente invisible a las personas, pero es extremadamente importante - le dice al ordenador a qu
tipo de fichero est asociado el archivo. Para poner un ejemplo, si renombras un archivo avi con una
extensin de fichero .JPG, el ordenador todava sabr que el archivo es realmente un avi por la
informacin en la cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera
para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algn tipo de archivo
en particular, pueden saltarse evidencias importantes porque pareca que no era relevante.
Otros programas pueden dividir archivos en pequeas secciones, y esconder cada seccin al final de
otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden
esconder archivos aprovechndose de este espacio libre. Es realmente complicado recuperar y volver a
unir toda esta informacin diseminada en partes.
Es tambin posible esconder un archivo en otro. Los ficheros ejecutables que son ficheros que el
ordenador reconoce como programas son particularmente problemticos. Programas llamados
empaquetadores pueden insertar estos ejecutables en otros tipos de archivos, mientras que hay otras
aplicaciones que pueden fundir mltiples ejecutables en uno solo.
La encriptacin es otro modo de ocultar los datos. Cuando encriptas datos, se usa un completo conjunto
de reglas llamado algoritmo para hacer los datos incomprensibles. Por ejemplo, un algoritmo de este tipo
puede hacer que un fichero de texto se convierta en un cmulo de nmeros y smbolos sin sentido. Una
persona que quiera leer los datos, necesitar una llave o clave para volver a convertir esos nmeros y
smbolos en texto leble de nuevo. Sin las claves de desencriptacin, los investigadores necesitarn
programas especiales designados para romper el algoritmo de encriptacin del archivo. Cuanto ms
sofisticado sea el algoritmo, mas tiempo se tardar en hacer la desencriptacin.
Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos. Estas
etiquetas o metadata, incluyen informacin como por ejemplo, cuando se creo un fichero o fue alterado.
Normalmente no puedes cambiar esta informacin, pero cierto software si permite alterar estas etiquetas.
Imagina que se descubre un fichero y descubrir que no va a existir hasta los prximos dos aos, y que fue
accedido por ltima vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace ms difcil que
se pueden utilizar como pruebas.
Algunas aplicaciones de ordenador borrarn datos su un usuario no autorizado intenta acceder al sistema.
Algunos programadores han examinado como funcionan los programas de informtica forense, y han
intentado crear otras aplicaciones que bloquean o atacan a esos mismos programas. Por este motivo, los
investigadores de evidencias informticas deben ir con cuidado para recuperar datos.
Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que los datos de
un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un archivo, cuando se accedi a el
por ltima vez, o incluso si a llegado a existir, como se puede justificar en un juicio que es una evidencia
o prueba? Mientras que esta pregunta es complicada, muchos pases aceptan evidencias informticas en
juicios, aunque los estndares cambian de un pas a otro.
Uso antiforense
Descargar el programa Xiao Steganography el cual permite ocultar y encriptar archivos dentro de
una imagen o de un archivo de sonido (eso s, con extensin .bmp o .wav). El procedimiento es tan
sencillo como elegir qu imagen o audio queremos usar como contenedor de lo que vamos a ocultar
(concepto conocido como portador), elegir qu archivo queremos ocultar, elegir el tipo de cifrado que
queremos usar y qu contrasea. Una vez hecho eso, tan slo queda guardarlo y enviarle el archivo que
se ha creado usando este programa a la persona con la cul queremos establecer una comunicacin
secreta.
Manual de uso
3-. Aparecer una pantalla que en espaol dice: Paso 1: Elegir el archivo de destino
Presiona Load Target File y elige una imagen de mapa de bits o bien un sonido .wav >Haz clic en
Next
4-. En pantalla vers un cuadro donde hay que agregar los archivos a la imagen. En la parte superior se
muestra el espacio disponible para los archivos, mientras sea de mejor calidad y ms pesada mejor.
5-. Haciendo clic en Next observamos la pgina de encriptacin, aqu puede aadirse una contrasea a
los archivos de la foto. Clic en Next.
-Si revisas las propiedades de las dos imgenes, vers que tienen el mismo peso.
3-. Tenemos los archivos en pantalla, los seleccionamos y hacemos clic en Extract files
Registro de windows
El registro esta formado por cinco claves maestras de las cuales solo HKLM y HKU son almacenadas
fisicamente, el resto se crean a traves de referencias a estas:
HKEY_CURRENT_USER (HKCU): Almacena informacion acerca de la configuracion del usuario con una
sesion activa.
1 SECURITY: Almacena las politicas de seguridad para cada cuenta de usuario y la base de datos local de
usuarios SAM (Security Account Manager) el numero del Control- Set activo.
SAM: Contiene informacion acerca de los usuarios y grupos locales del sistema. Existen listas de control
de acceso (ACLs) que evitan que el administrador explore esta clave junto con la clave
3 SECURITY por lo que para ver su contenido es necesario ejecutar regedit bajo la cuenta Lo cal System
Account. Para ello puede utilizarse el comando de consola at y programar la ejecucion del regedit para un
instante cercano:"at 17:30 /interactive regedit". Otra opcion seria utilizar el comando psexec del conjunto
de utilidades PsTools de SysInternals:"psexec -s -i regedit"
4 HARDWARE: Almacena informacion acerca de hardware que se ha detectado durante el arranque. Esta
clave permanece siempre en memoria y no se almacena fisicamente en disco.
5 SYSTEM: Contiene los Control Sets que definen la configuracion de los servicios y controladores del
sistema. Existen ControlSets alternativos con las ultimas configuraciones estables conocidas y solo habra
un ControlSet activo en cada momento (HKLMSYSTEMCurrentControlSet).
En la clave HKLMSYSTEMS
HKEY_USERS (HKU): Contiene subclaves para cada cuenta de usuario predefinida de windows y para
cada usuario que haya iniciado una sesion primaria o secundaria en el sistema. Estas subclaves se
identifican con el SID (Security Identifier) de la cuenta y almacenan la informacion relativa a la
configuracion especifica de la misma.
El registro de Windows puedes ser analizado sin problema en un sistema vivo, a tiempo real, para esta
labor tenemos varios procesos como la extraccion de datos, la exportacion de claves para su posterior
analisis y la comparacion de ficheros.
Los MRU, son datos de los elementos recientemente usados, pudiendo ser archivos programas, recursos,
etc, para ellos debemos conocer algunas ubicaciones donde podremos encontrar esta informacion, por
esta razon ponemos a continuacion un listado de ubicaciones mas comunes de estos MRU, no queriendo
decir que sean las unicas:
HKEY_CURRENT_USER
SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
Otras Ubicaciones.
Common
SoftwareMicrosoftWindowsCurrentVersionAppletsRegedit
Regedit - Favorites
SoftwareMicrosoftWindowsCurrentVersionAppletsRegeditFavorites
SoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVis itedMRU
SoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenS aveMRU
SoftwareMicrosoftMediaPlayerPlayerRecentFileList
SoftwareMicrosoftMediaPlayerPlayerRecentURLList
Microsoft Office
Winword - Open
Winword - Save As
SoftwareMicrosoftOffice9.0WordData
Excel - Open
Excel - Save As
SoftwareMicrosoftOffice9.0ExcelRecent Files
Frontpage - Open
Frontpage - Save As
Internet Explorer
USERNAMEsoftwaremicrosoftinternet explorertypedurls
Algunas herramientas
Set de utilidades que permite la adquisicin de la memoria ram para posteriormente hacer un anlisis
con ella.
MONTAJE DE DISCOS
Utilidades para montar imgenes de disco o virtualizar unidades de forma que se tenga acceso al sistema
de ficheros para posteriormente analizarla.
Recuperacin de datos perdidos, borrados, bsqueda de patrones y ficheros con contenido determinado
como por ejemplo imgenes, vdeos. Recuperacin de particiones y tratamiento de estructuras de discos.
DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola),
DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
IEF - Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230
aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.
Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.
ANLISIS DE MALWARE
FRAMEWORKS
PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
Log2timeline - Es un marco para la creacin automtica de un super lnea de tiempo.
Plaso - Evolucin de Log2timeline. Framework para la creacin automtica de un super lnea de tiempo.
DFF - Framework con entorno grfico para el anlisis.
Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, informacin del sistema,
direcciones IP, informacin de aplicaciones.
RegRipper - Es una aplicacin para la extraccin, la correlacin, y mostrar la informacin del registro.
WRR - Permite obtener de forma grfica datos del sistema, usuarios y aplicaciones partiendo del registro.
Shellbag Forensics Anlisis de los shellbag de windows.
Registry Decoder - Extrae y realiza correlacin aun estando encendida la mquina datos del registro.
HERRAMIENTAS DE RED
Todo lo relacionado con el trfico de red, en busca de patrones anmalos, malware, conexiones
sospechosas, identificacin de ataques, etc.
Metadatos
Los metadatos han cobrado gran relevancia en el mundo de Internet, por la necesidad de utilizar los
metadatos para la clasificacin de la enorme cantidad de datos. Adems de la clasificacin los metadatos
pueden ayudar en las bsquedas. Por ejemplo, si buscamos un artculo sobre vehculos, este dato tendr
sus correspondiente metadatos clave adjuntos, como 4 ruedas, motor, etc.
Metatags en HTML: etiquetas con informacin sobre el propio documento web: autor,
editor, codificacin, etc.
Informacin en el propio sistema de ficheros: HFS o ReiserFS, por nombrar dos. Se ven completados
por los buscadores inteligentes (Beagle o Spotlight) que saben reconocer estos metadatos.
Clasificaciones de fotos: F-Spot, Picasa o iPhoto, por ejemplo.
Clasificadores de canciones: contienen metadatos sobre las canciones, bien en MP3 o en CD de audio,
en un formato llamado ID3. Por ejemplo: iTunes yRhythmbox.
Actualmente hay dos versiones de FOCA, una completamente gratuita y otra de pago, la cual incorporar
otras funciones muy necesarias en los tests de penetracin. Nosotros veremos las funciones ms
importantes de la versin gratuita.
Extraccin de metadatos
La funcin principal y ms conocida de FOCA es la extraccin de metadatos. Para extraer los
metadatos de los archivos que queramos tenemos dos formas: tenindolos guardados en nuestro
ordenador o usando FOCA para obtenerlos. Si tenemos los archivos que queremos analizar en nuestro
ordenador, simplemente los arrastramos a FOCA para trabajar con ellos directamente. Si queremos
obtener todos los archivos que una empresa tiene en internet, FOCA nos ofrece la posibilidad de
descargarlos todos juntos. Para empezar la descarga de archivos, vamos a la pestaa Project y
seleccionamos New Project. Introducimos el nombre de nuestro proyecto y el dominio de la web de la
que queremos extraer los archivos, en nuestro haremos la prueba de extraccin de metadatos de la
pgina oficial de la Casa Blanca, whitehouse.gov. Una vez introducido esto, le damos a crear proyecto.
A la izquierda seleccionamos la opcin metadatos y nos mostrar una serie de opciones a la derecha.
Las primeras son los buscadores, es decir, con qu buscadores quieres que se analicen los archivos de
tu dominio. sta es la mejor bsqueda y la ms exhaustiva, y por tanto la que ms tiempo tardar. Las
siguientes opciones que nos dar es la extensin de los archivos, pudiendo buscar un solo tipo de archivo
o todos los que FOCA nos ofrece, en nuestro caso marcaremos todos.
Una vez seleccionada nuestra configuracin, le damos al botn Search All y comenzar nuestra
bsqueda. Al finalizar, obtenemos 1051 archivos de la Casa Blanca, solo con dos de los tres
navegadores disponibles.
Haciendo clic derecho en cualquiera de ellos y seleccionando Dowload All se comenzarn a descargar
todos los archivos, dependiendo del nmero de archivos que tengamos, tardar ms o menos. Nosotros
para esta prueba hemos descargado 751 de los 1051 encontrados, pero es conveniente descargarlos
todos.
Una vez descargados los archivos volvemos a hacer clic derecho en cualquiera de ellos y seleccionamos
Extract All Metadata para que FOCA comience el anlisis. En la parte de la izquierda del programa,
debajo del apartado Metadata, aparecen dos subapartados: Documents y Metadata Summary.
Mientras que FOCA analiza los documentos, en el apartado Documents irn clasificndose todos los
archivos descargados por su extensin. En la parte de Metadata Summary, irn apareciendo los
metadatos obtenidos, nombres de usuarios, impresoras, software, e-mail, sistemas operativos, etc. En
nuestro caso tenemos la informacin de los 751 archivos analizados.
Si hacemos ahora clic derecho donde dice Metadata nos aparecen varias opciones, una de ellas es
Export, la cual exportar todos los datos obtenidos a un documento. Si le damos a la ltima opcin
Analyze, FOCA comenzar a analizar todos los metadatos obtenidos, creando as un mapa de red
con todos ellos, que encontraremos en el apartado Network. En nuestro caso obtenemos 167 clientes y
3 servidores, obteniendo as un mapa de red con todos ellos.
Con esto obtenemos un mapa de red completamente estructurado, conociendo al detalle los usuarios y
los servidores que lo forman. De esta manera y mediante el uso de FOCA se puede llegar a obtener toda
esta informacin que podr servir para realizar un futuro ataque, o simplemente, para probar el nivel
de Seguridad de cualquier empresa.
Para esto tenemos que tener una buena lista de URLs para probar con ellas y as saber todas las pginas
a las que se han conectado para poder realizar, en algunos casos, ataque de MITM o Spam. Es posible
que en un servidor DNS la cach se actualice en un tiempo determinado, es decir, que cuando pase
dicho periodo de tiempo se borre la cach del servidor, en ese caso, FOCA ofrece la posibilidad de
tener un seguimiento y hacer snoop cada cierto tiempo, para poder conseguir de sta manera sus
hbitos de navegacin.
Para realizar un DNS Cach Snooping nos dirigimos en la seccin superior a la ventana Tools y
seleccionamos la nica opcin que nos dan (al ser la versin gratuita solo tenemos la opcin de DNS
Snooping). Para empezar hay que introducir un dominio en el campo Domain y pulsar el botn Obtain
DNS Server y te dar en la parte de abajo los servidores DNS del dominio introducido. Para poder
comenzar hay que pulsar primero el botn Load file y abrir un archivo donde tengamos un listado de
URLs para consultar y comparar con la cach del servidor. Seleccionamos un servidor DNS de los que
hemos encontrado. Una vez configurado todo le damos al botn Snoop y nos dar finalmente las URLs
que tengamos en el archivo y que a la vez estn en el servidor DNS. En este caso vemos como desde el
dominio renfe.es se accede a una pgina web de citas, a facebook, twitter y distintos bancos.
Tarea antiforense