Forensia Digital

Einar Felipe Lanfranco

Damián Rubio

1
 Contents
Fase de análisis 2
Primeras pasos 3
El tema es: por donde empezar?? 4
Primeras pasos 6
La importancia de tomar notas 7
La importancia de tomar notas 8
Aplicando el método científico en la investigación 9
digital
Aplicando el método científico en la investigación 10
digital
Modelos de procesos para la investigación digital 11
Formulación y Evaluación de Hipótesis 12
Desafíos y enfoque 13
Pasos 14
1. Observación 15
2. Hipótesis 16

i
 3. Predicción 17
4. Experimentación/Prueba 18
5. Conclusión 19
Repetición 20
Intrusiones a computadoras 21
Entendiendo al atacante 22
Metodología básica del atacante 23
Metodología básica del atacante 24
Metodología básica del atacante 25
Ingeniería Social 26
Ingeniería Social 27
Analizando intrusiones a computadoras 28
Analizando intrusiones a computadoras 29
Analizando intrusiones a computadoras 30
Analizando intrusiones a computadoras 31
Desafíos de la Investigación de intrusiones 32
Dejando sistemas comprometidos vulnerables 33

ii
 Observando al intruso en Progreso 34
Observando al intruso en Progreso 35
El manejo y análisis de código malicioso 36
El manejo y análisis de código malicioso 37
El manejo y análisis de código malicioso 38
Adversarios fuera de la esfera de influencia 39
La investigación Post-Mortem de un sistema 40
comprometido
Análisis del sistema de archivos 41
Clasificación y filtrado de archivos según 42
fecha-hora
Clasificación y filtrado por nombre de archivo 43
Los archivos de configuración y ubicaciones de 44
inicio
Logs de sistema y seguridad 45
Logs de sistema y seguridad 46
Logs de aplicaciones 47

iii
 Búsqueda de palabras clave 48
La investigación de programas maliciosos 49
La investigación de programas maliciosos 50
La investigación de programas maliciosos 51
La investigación de programas maliciosos 52
Estrategias de análisis 53
Escaneo automatizado 54
Inspección del archivo estático 55
Análisis dinámico 56
Virtualización 57
Ingeniería inversa 58
La seguridad 59
Evidencia digital en los SO 60
Evidencia digital en los SO 61
Reporte 62
Redacción del informe 63
Redacción del informe 64

iv
 Tipos de informes 65
Informe ejecutivo 66
Informe técnico 67
Estructura básica 68
Estructura básica 69
Hands On 70
Timelines 71
El problema de las timelines 72
Autopsy 73
Autopsy2 timeline 74
Autopsy3 timeline 75
Timesketch 76
Kibana 77
El problema de las timelines 78
Comandos útiles 79
Buscar archivos y carpetas 80
Find 81

v
 Find 82
Locate 83
Locate 84
Grep 85
Strings 86
Combinando 87
Análisis de archivos 88
Análisis de archivos 89
VirusTotal 90
AndroTotal 91

vi
1
 Fase de análisis
• Evaluacion de la evidencia
• Timeline
• Reportes
• Herramientas

data-rot 270
ate:

2
 Primeras pasos
• Una de las primeras cosas que se debe tener en cuenta al
empezar con la fase de análisis es por donde empezar.
• Muchas veces en caso en si nos brinda algunas pistas para
poder comenzar la investigación pero muchas otras veces no.
• Esto depende de la información obtenida en el inicio del caso
o de la experticia del investigador.

3
 El tema es: por donde empezar??
• Depende de el caso en particular.
• Entrevistar responsables
• Tomar notas
• Relacionar eventos reales con eventos en las timelines

4
5
 Primeras pasos
• Entrevistar a los dueños
• Comportamiento de la computadora (en casos de
infección por malware)
• Fecha y hora aproximadas de infección
• Pistas sobre el comportamiento de los usuarios
• Para que se utiliza esa computadora
• Usuarios y contraseñas
• En caso de que exista una escena del crimen
• Post-its o notas con información relevante, como
contraseñas.
• Dispositivos de keymanagement.

6
 La importancia de tomar notas
• Cuando se empieza a indagar en el caso, muchas pistas y
situaciones empiezan a aparecer y el investigador necesita
seguir a todas y cada una de ellas.
• Para esto se utilizan las notas. Aunque parezca trivial, las
notas son unas de las herramientas más importantes de un
investigador forense.

• Hay muchas aplicaciones que brindan herramientas que

nos permiten tomar notas:
• Sospechas
• Documentos o archivos extraños
• Anomalías en la timeline, como saltos de tiempo o
muchos archivos modificados
• Adjuntar archivos, referencias, inodos, cluster a la nota.

7
 La importancia de tomar notas
• Distintas aplicaciones tienen herramientas para marcar o
tomar notas de eventos.
• Timesketch: estrellas, comentarios e historias.
• Kibana: guardar queries, filtros y gráficos.
• Autopsy: notas y adjuntos.

8
 Aplicando el método científico en la
investigación digital
• Cuando un investigador forense empieza a indagar en el caso,
este evaluará las evidencias y llegará a varias sospechas de lo
que ha sucedido.
• Estas sospechas son básicamente hipótesis del caso.
• Este tipo de enfoque de investigación debe ser debe ser
llevado a cabo de manera controlada para que el investigador
no se pierda en todas las posibles cantidades de hipótesis
distintas que pueden llegar a plantearse.
• Para esto se utiliza un método científico de investigación y
un modelo de proceso forense

9
 Aplicando el método científico en la
investigación digital
• En la práctica, los investigadores digitales son más eficientes
con metodologías más simples que los guían en la dirección
correcta, mientras les permite mantener la flexibilidad para
manejar diversas situaciones.
• El método científico proporciona una metodología sencilla y
flexible.
• Comienza con la compilación de datos y validación, procede a
la formación de hipótesis y experimentación/pruebas,
buscando activamente evidencia que refutan la hipótesis,
revisando conclusiones cada vez que emergen nuevas
evidencias.

10
 Modelos de procesos para la
investigación digital
• Numerosos esfuerzos determinaron que, cuando se trata de
concebir un enfoque general para describir el proceso de
investigación dentro de la ciencia forense digital, dicho
proceso debe ser general.
• Esto dio lugar a diversos modelos que describen las
investigaciones, que son conocidos como "modelos de
procesos."
• Un ejemplo de modelo de proceso es el ya visto:
Recolección, Examinación, Análisis, Reporte.

11
 Formulación y Evaluación de Hipótesis
• En cada paso del proceso de investigación, un investigador
está tratando de afrontar cuestiones específicas y lograr
ciertos objetivos relacionados con el caso.
• Estas preguntas y objetivos impulsarán el proceso de
investigación digital e influirán en tareas específicas dentro de
cada paso.
• Por lo tanto, es importante que los investigadores digitales
tengan un método robusto y repetible en cada paso para
ayudarlos a lograr los objetivos y abordar las cuestiones que
son necesarios para resolver el caso.

12
 Desafíos y enfoque
• Los investigadores enfrentan desafíos a lo largo de una
investigación que tienen que descifrar a través de la aplicación
de su experiencia e intuición para formular teorías, y evaluar
estas teorías según la información disponible.
• El enfoque basado en hipótesis de las investigaciones
forenses digitales proporciona un modelo inicial que une
prácticas de investigación digital y la teoría de la ciencias de la
computación, destacando el papel del método científico dentro
de una investigación digital.

13
 Pasos
• Los siguientes 5 pasos pueden guiar al investigador
digital a través de casi cualquier situación investigaría:
1 Observación
.
2 Hipótesis
.
3 Predicción
.
4 Experimentación/Prueba
.
5 Conclusión
.

14
 1. Observación
• Uno o más eventos ocurrirán e iniciarán nuestra investigación.
• Estos eventos incluirán varias observaciones que serán los
hechos iniciales del incidente.
• Los investigadores digitales procederán a partir de estos
hechos para formar su investigación.
• Ej: la computadora funciona muy lento, mucho trafico de red,
no funciona, muchos virus.

15
 2. Hipótesis
• Basado en los hechos actuales del incidente, los
investigadores digitales formarán una teoría de lo que pueda
haber ocurrido.
• Ejemplo: el atacante utilizo fuerza bruta para obtener el
acceso vía SSH

16
 3. Predicción
• Basándose en la hipótesis, los investigadores digitales podrán
predecir dónde pueden estas ubicados los artefactos
relacionados con un evento.
• Ejemplo: En los logs de acceso quedará algún rastro

17
 4. Experimentación/Prueba
• Los investigadores digitales podrán entonces analizar la
evidencia disponible para probar la hipótesis, buscando por la
presencia de artefactos predichos anteriormente.
• Parte del método científico es también poner a prueba
posibles explicaciones alternativas.
• Si la hipótesis original es correcta un investigador digital
será capaz de eliminar explicaciones alternativas a partir
de la evidencia disponible (este proceso se denomina
falsificación).
• Ejemplo: Se revisan los logs, si no se encuentra nada, se
puede decir que "el atacante no ingresó via SSH" o se puede
plantear una nueva hipótesis que reza "el atancante borró los
logs"

18
 5. Conclusión
• Los investigadores digitales formarán una conclusión basada
en los resultados de sus hallazgos.
• Un investigador digital puede haber encontrado que la
evidencia apoya la hipótesis, falsifica la hipótesis, o que no
había suficientes hallazgos para generar una conclusión.
• Ejemplo: Ante la existencia de logs que verifiquen múltiples
intentos de acceso negados y uno final que logra acceder se
comprueba la hipótesis planteada.

19
 Repetición
• Esta metodología general puede ser repetida tantas veces
como sea necesario para alcanzar conclusiones en cualquier
fase de la investigación digital.

20
 Intrusiones a computadoras
• Los criminales entran en computadoras por una gran
variedad de propósitos, incluyendo:
• Robar información valiosa
• Espiar conversaciones de los usuarios
• Acosar usuarios
• Lanzar ataques hacia otros sistemas
• etc

21
 Entendiendo al atacante
• Nuevas maneras de interferir y vulnerar sistemas son creadas
todos los días con distintos niveles de sofisticación.
• Aunque se necesita cierto nivel de conocimiento para
implementar estos ataques, una vez que el nuevo método
existe se publica en internet.
• Los programas que automáticamente explotan una
vulnerabilidad son comúnmente llamados 'exploits' y muchos
de ellos son fácil de encontrar en internet junto a las
instrucciones para explotar sistemas.
• Con muy poco de conocimiento de redes de computadoras,
casi cualquier persona puede obtener y utilizar las
herramientas necesarias para ser una molestia, o incluso
peligroso.

22
 Metodología básica del atacante
• Aunque existen muchas y variadas maneras de ataques,
técnicas, tácticas y procedimientos que se pueden utilizar para
comprometer un sistema, podemos abstraer un descripción de
4 pasos:

23
 Metodología básica del atacante
1 Reconocimiento: Es el proceso de obtener información del
. objetivo que pueda ser útil al momento de atacar.
2 Atacar: Es el proceso de aplicar una técnica contra el
. sistema objetivo que, sí es efectivo, podría resultar en el
acceso no autorizado o una denegación de servicio.
3 Persistencia: Es el proceso de asegurar el continuo y
. secreto acceso administrativo a los sistemas de destino.
4 Abuso: Es el proceso de llevar a cabo cualquier otra
. actividad sobre objetivos comprometidos que cumplan con
los fines del atacante.

24
 Metodología básica del atacante
• Lograr la persistencia puede implicar la instalación de
backdoors, rootkits y otros programas maliciosos para
permitir acceso continuo y permanente.
• Es importante entender que estos 4 pasos no necesariamente
se realizarán en orden, pueden ser repetidos o mezclados
muchas veces durante la intrusión para realizar objetivos
específicos.
• Un ejemplo clásico es el de las redes botnets, donde cada
equipo comprometido queda "esperando" por "órdenes" del
cerebro de la red para empezar a funcionar, por caso, a enviar
Spam.

25
 Ingeniería Social

26
 Ingeniería Social
• Cuando los atacantes no pueden acceder al sistema a través
de fallas de seguridad, ya sea bugs del software o
configuración, utilizan métodos menos técnicos para ganar
acceso.
• La ingeniería social se define como un conjunto de trucos,
engaños o artimañas que permiten confundir a una persona
para que entregue información confidencial
• La idea es convencer a los usuarios a que expongan el
sistema
• Esto puede realizarse por teléfono, mail (phishing) u otros
medios como las redes sociales.

27
 Analizando intrusiones a computadoras
• La investigación de intrusiones en computadoras por lo
general implica una gran cantidad de evidencia digital de
varias fuentes.
• Los investigadores digitales deben mirar en diferentes
rincones y grietas de un equipo comprometido en busca de
rastros de la intrusión.

28
 Analizando intrusiones a computadoras
• El análisis forense de la memoria puede revelar puertos y
direcciones IP asociadas a actividades maliciosas que pueden
utilizarse para buscar información relacionada en el ordenador
infectado y el tráfico de red asociado.
• El sistema de archivos y registro pueden contener
información acerca de cómo los intrusos informáticos operan y
mantienen un pie en los sistemas comprometidos, y pueden
contener pistas sobre lo que pueden haber sido robados
datos.
• Los logs del sistema en un equipo comprometido pueden
contener información sobre cuentas de usuario y direcciones
IP que estaban involucrados, la ejecución de los programas
maliciosos y otros eventos relacionados con el ataque.

29
 Analizando intrusiones a computadoras
• Incluso cuando se investiga un solo equipo, en general es
necesario buscar archivos de logs de red para las entradas
relevantes y explorar la red en busca de pistas adicionales.
• El tráfico de red puede proporcionar detalles específicos sobre
el ataque incluyendo los ejecutables que se colocaron en la
computadora y los archivos que fueron robados por la red.
• Por lo tanto, las investigaciones de intrusión informáticos
requieren una amplia gama de habilidades técnicas,
incluyendo análisis forense de sistemas de archivos, análisis
forense de memoria, análisis forense de redes, y las técnicas
forenses de malware.

30
 Analizando intrusiones a computadoras
• Bajo tales condiciones, especialmente cuando están
implicados varios equipos, es fácil pasar por alto evidencia
digital importante o documentar la investigación de manera
inadecuada, y saltar a conclusiones incorrectas.
• El método más eficaz para el manejo de este tipo de
investigación compleja y propensa a errores, es utilizar una
metodología sólida para recoger las fuentes más comunes de
evidencia digital.
• Tener un método de rutina para la preservación de evidencia
digital de forma rápida para su examen futuro deja
investigadores digitales con más tiempo para hacer frente a
los matices y peculiaridades de los incidentes individuales.

31
 Desafíos de la Investigación de
intrusiones
• Existen retos especiales de las intrusiones que investigadores
digitales deben tener en cuenta, ya que no son tan comunes a
otras formas de análisis forense digital.
• Algunos de los retos más importantes se describen a
continuación.

32
 Dejando sistemas comprometidos vulnerables
• Un desafío común que surge es la necesidad de proteger los
sistemas contra nuevos ataques.
• Siempre que sea posible, las pruebas debe ser preservadas
antes de la reparación del sistema o la alteración de su
estado.
• Por lo general, es posible proteger al sistema mediante el
aislamiento de la red mientras que está siendo procesado.
• En algunos casos, puede ser viable aislar un sistema
simplemente desconectando su cable de red.
• Sin embargo, cuando el sistema es un componente crítico de
una red, puede ser necesario involucrar a los administradores
de red para reconfigurar un router o firewall, aislar
parcialmente el sistema pero permitiendo conexiones vitales
para permitir que una organización debe seguir en
funcionamiento.

33
 Observando al intruso en Progreso
• Puede ser beneficioso para los investigadores digitales
observar al sospechoso mientras está cometiendo el delito.
• Esto permitirá al investigador digital reunir información
adicional que puede ser utilizada para identificar y procesar a
ese sospechoso.

34
 Observando al intruso en Progreso
• Las intrusiones de computadoras pueden ser extremadamente
complejas, sobre todo aquellas que se extienden a través de
una red empresarial
• La observación puede ser necesaria para determinar el
verdadero alcance del incidente.
• Algunos intrusos son expertos en ocultar o borrar los rastros
de sus actividades. Si no se observan en acción, puede que
no haya suficiente evidencia.
• El problema es que observar implica que el atacante siga
dañando el sistema o siga robando información.
• Existen dispositivos denominados honeypot que son software
en un entorno controlado diseñado específicamente para
realizar esta observación, suelen tener vulnerabilidades para
atraer a los atacantes como la "miel" atrae moscas y de allí el
nombre.

35
 El manejo y análisis de código malicioso
• En intrusiones informáticas, más que en otros delitos
cibernéticos, los investigadores digitales tienen que lidiar con
los programas informáticos desconocidos y/o maliciosos.
• Se necesitará analizar los programas maliciosos para
aprender más sobre lo que hacen y cómo funcionan.

36
 El manejo y análisis de código malicioso
• Por ejemplo, un investigador digital puede necesitar
determinar lo siguiente:
• Los nombres y las ubicaciones donde están
almacenados los archivos adicionales relacionados con
el código malicioso, como ejecutables, archivos de
configuración relacionados o entradas del registro, un
keylogger, o un archivo de datos robados.
• El propósito del código malicioso, es decir, si se trata de
crear un backdoor, propagarse a través de algún
mecanismo específico, etc.

37
 El manejo y análisis de código malicioso
• El análisis de código malicioso, a menudo, requiere un
profundo conocimiento de los programas de computadora,
incluyendo la capacidad de leer e interpretar un archivo
ejecutable o descompilar, así como la capacidad de identificar
y eludir las defensas incorporadas en el código contra la
ingeniería inversa y la depuración.

38
 Adversarios fuera de la esfera de influencia
• Es muy común que en los casos de intrusión informáticas los
investigadores estén lidiando con adversarios o sospechosos
fuera de su ámbito de influencia o jurisdicción.
• Esto se debe a la facilidad con la que un atacante puede
comprometer un ordenador o una red a través de fronteras
nacionales y geográficas.
• Debido a esto, los investigadores encontrarán a menudo que
rastrean un ataque que no está en una ubicación que les
permita proseguir con su investigación sin necesidad de
obtener la cooperación de otra organización.

39
 La investigación Post-Mortem de un
sistema comprometido

40
 Análisis del sistema de archivos
• Los investigadores digitales por lo general comienzan una
investigación de intrusión informática ya sabiendo algo sobre
lo que ha sucedido. Debe haber habido una alerta inicial o
evento que les hizo entrar en la investigación, para empezar.

41
 Clasificación y filtrado de archivos según fecha-hora
• En muchos casos, la alerta o evento que inició una
investigación tendrá una fecha y hora asociada a ella.
• Una técnica común es simplemente centrar la atención en las
actividades del sistema de archivos en la época de los hechos
conocidos.
• Este es un principio conocido como la proximidad
temporal.
• Eventos que se producen de cerca el uno al otro pueden
estar relacionados.
• Hay que tener en cuenta que es posible manipular timestamps
de fecha y hora asociados a los metadatos del sistema de
archivos.

42
 Clasificación y filtrado por nombre de archivo
• Cuando los investigadores saben el nombre de un archivo, la
clasificación por ese nombre puede conducir a la identificación
de archivos adicionales nombrados por medio de una
convención o nomenclatura similar, o archivos con el mismo
nombre pero con una extensión de archivo diferente.
• Algunos de estos archivos pueden ser almacenados en el
mismo directorio.

43
 Los archivos de configuración y ubicaciones de inicio
• Intrusos informáticos alteran la configuración de los
sistemas comprometidos para ocultar su presencia y
mantener el acceso.
• En los sistemas Windows, los intrusos utilizan el registro
para asegurar que los programas que serán ejecutados,
incluso después de que se reinicia el sistema.
• En los sistemas UNIX se utiliza una variedad de scripts
de inicio y archivos de configuración para cambiar el
funcionamiento del sistema de acuerdo a su propósito.

44
 Logs de sistema y seguridad
• Los logs en los sistemas informáticos pueden capturar los
detalles sobre los eventos relacionados con una intrusión.
• En los sistemas Windows (siempre que estén
configurados correctamente) y en los sistemas UNIX, los
logs registran una variedad de acciones en el sistema.
Estos logs pueden registrar sucesos de inicio y cierre de
sesión, servicios que se iniciaron, y muchas otras
actividades relacionadas con la seguridad y el software
en el sistema.

45
 Logs de sistema y seguridad
• Debido a que los intrusos suelen ser conscientes de la
existencia de estos registros pueden eliminarlos para cubrir
sus huellas.
• En tales casos, los investigadores digitales pueden ser
capaces de buscar en zonas desalocadas del sistema
comprometido para encontrar entradas de registro de
borrados.

46
 Logs de aplicaciones
• Algunos programas que se ejecutan en un sistema
comprometido, pueden captar detalles importantes
relacionados con una intrusión.
• Muchos navegadores de Internet mantienen registros de
recursos que se ha accedido en determinados momentos, y
éstos pueden revelar el ataque inicial o actividades de
intrusión posteriores.
• Además, los antivirus mantienen un registro de de los eventos
maliciosos o sospechosos que pueden proporcionar
información relativa a la intrusión.

47
 Búsqueda de palabras clave
• La búsqueda de cadenas que se encuentran en archivos
ejecutables maliciosos, así como direcciones IP y otras
características.
• La búsqueda de tales características puede descubrir
información previamente desconocida, incluyendo datos
eliminados, dando a los investigadores digitales una
comprensión más completa de lo que ocurrió.

48
 La investigación de programas
maliciosos
• El objetivo final de análisis de malware en una investigación de
intrusiones variará dependiendo de la finalidad del ataque.

49
 La investigación de programas maliciosos
• ¿Cuál es el objetivo principal (o propósitos) del código?
• ¿El propósito es robar o destruir información?¿qué tipo de
información?
• ¿El programa automáticamente crea, borra o altera cualquier
archivo específico?
• ¿El programa crea procesos adicionales o se inyecta sí mismo
en otros procesos?
• ¿El programa automáticamente crea, borra o modifica alguna
opción de configuración del sistema operativo?

50
 La investigación de programas maliciosos
• ¿El programa acepta conexiones de red remotas?
• ¿El programa inicia alguna conexión de red, y si es así cómo
se identifican los hosts remotos?
• ¿El programa intercepta o interfiere con las operaciones
legítimas del sistema operativo?
• ¿Se puede determinar el autor/origen del software malicioso?

51
 La investigación de programas maliciosos
• Dependiendo de la sofisticación del malware, puede tomar
mucho tiempo y esfuerzo para responder a estas y otras
cuestiones relacionadas con el malware.
• Algunos códigos maliciosos están diseñados específicamente
para frustrar las técnicas de análisis común, creando una
necesidad de especialistas que son expertos en el tratamiento
de las técnicas de análisis y de ofuscación de malware.

52
 Estrategias de análisis
• Las estrategias de análisis primarias que se pueden aplicar a
un código malicioso para aprender más sobre su funcionalidad
y comportamiento se resumen en esta sección.

53
 Escaneo automatizado
• Los investigadores digitales pueden utilizar herramientas
automatizadas para identificar el código y determinar su
función.

54
 Inspección del archivo estático
• Los investigadores digitales pueden inspeccionar un archivo
estáticamente con algunas técnicas simples para determinar
algunas piezas básicas de información.
• Esto incluye el uso de programas para extraer cadenas
legibles del archivo, el examen de metadatos del archivo
ejecutable, y la comprobación de dependencias de bibliotecas.

55
 Análisis dinámico
• El análisis dinámico de malware consiste en ejecutar el código
de observar sus acciones.
• Esto también típicamente requiere que los investigadores
digitales interactúen con el código en cierta medida a fin de
obtener su completa funcionalidad.
• En algunos casos, los investigadores digitales deberán crear
programas con los que el código puede interactuar a través de
enlaces de red en un entorno de prueba.

56
 Virtualización
• Carga de un duplicado forense en un entorno virtualizado
permite a los investigadores observar el malware en el
contexto del sistema comprometido.
• Este enfoque es una forma de análisis dinámico que puede
dar más información acerca de la operación de malware
porque todas las dependencias necesarias y los detalles de
configuración están presentes dentro del duplicado forense.

57
 Ingeniería inversa
• Este es el proceso de tomar un ejecutable binario y restaurarlo
a código asambler o al lenguaje de alto nivel en el que se
construyó.
• Este no es un proceso exacto, las optimizaciones del proceso
de compilación y el compilador pueden haber cambiado el
código lo suficiente como para que los investigadores no sean
capaces de replicar las instrucciones originales, pero serán
capaces de determinar la funcionalidad del programa en
general.

58
 La seguridad
• Estos programas pueden potencialmente causar daño en
cualquier sistema informático en el que residen, en raras
circunstancias sin ser ejecutados directamente por un usuario.
• Algunas formas de código malicioso también mantienen la
capacidad de iniciar comunicación de red para infectar
sistemas adicionales o proporcionar un atacante el acceso
externo a una red que puede utilizarse para atacar a otros
sistemas dentro de una red.
• Por estas razones, el código malicioso nunca debe ser
analizado desde un sistema que está conectado en red con
otros equipos que se utilizan para cualquier otro propósito que
el análisis de código malicioso.

59
 Evidencia digital en los SO
• Cuando empezamos a aplicar nuestros procesos de
investigación y métodos de análisis en algún u otro momento
tendremos que lidiar con cuestiones específicas de los
Sistemas Operativos.
• Es fundamental conocer cada SO para entender su
funcionamiento básico y así poder analizar la evidencia desde
una perspectiva mas objetiva.
• Cada SO tiene particularidades como:
• Sistema de archivos
• Logs y su ubicación
• Programas y sus datos
• Tipos de archivos
• Métodos de recuperación de datos

60
 Evidencia digital en los SO
• Por cuestiones prácticas del curso no se detallarán las
particularidades de cada SO
• Referencias y links útiles:
• Handbook of Digital Forensics and Investigation (Pittman
& Shaver, 2009) (capítulos 5, 6 y 7)
• Digital Evidence and Computer Crime Forensic Science,
Computers and the Internet Third Edition (capítulos 17,18
y 19)

61
 Reporte
• La última etapa del proceso forense es integrar todos los
resultados y conclusiones en un informe final, que transmite
todas las conclusiones y resultados a los demás de manera
clara y concisa.
• Escribir un informe es una de las etapas más importantes del
proceso forense, ya que es la única visión que tienen los
demás del mismo.

62
 Redacción del informe
• Las suposiciones y falta de fundamentos en pruebas dan
como resultado un informe débil.
• Por lo tanto, es importante construir argumentos sólidos,
proporcionando todas las pruebas y demostrar que la
explicación dada es la más razonable.
• Demostrar claramente cómo y dónde se encontró toda la
evidencia ayuda a interpretar el informe y permite que otro
examinador competente verifique los resultados.

63
 Redacción del informe
• Al presentar escenarios alternativos y demostrar por qué son
menos razonables y menos consistentes respecto a la
evidencia encontrada puede ayudar a fortalecer las principales
conclusiones.
• Explicar lo poco probable o imposible de otras posibles
explicaciones demuestra que el método científico se aplicado
fue el correcto.
• Si la evidencia digital se ha alterado después de la recolección
es importante mencionar esto en el informe, explicando la
causa de las alteraciones y su impacto en el caso

64
 Tipos de informes
• Hay que tener en cuenta que muchas veces los informes van a
ser leídos por personas sin conocimientos técnicos.
• El informe puede ser de dos clases: ejecutivo y técnico.
• Ejecutivo es un informe enfocado a personas sin
conocimientos técnicos
• Técnico explica de una manera técnicamente detallada
el procedimiento del análisis.

65
 Informe ejecutivo
• Los principales lectores de los informes ejecutivos son la alta
dirección de las empresas, organismos, etc.; es decir,
personas que no tienen un perfil técnico.
• Por lo tanto el informe no debe ser detallado, sino que debe
tratarse de un resumen que introduzca al lector a la temática y
que abarque todo el proceso, sus conclusiones.
• Los informes de este tipo se caracterizan por tener muchas
imágenes, como gráficos y estadísticas, que ayudan al lector a
comprender el reporte. y recomendaciones.

66
 Informe técnico
• Los principales lectores de este tipo de informe son personas
con un perfil técnico (ingenieros, técnicos superiores, etc.)
• Los informes técnicos son muy detallados y robustos.
• Contienen gran cantidad de información explicando cada unos
de los pasos del proceso forense y sus conclusiones.
• Junto a una detallada sección de suposiciones, hipótesis y
conclusiones.

67
 Estructura básica
• Introducción: número de caso, quién solicitó el informe, quien
escribió el informe, cuándo y qué se ha encontrado.
• Resumen de evidencia: listar las evidencias, como fue
extraída, como y cuando fue examinada , valores de MD5,
números de envío de laboratorio, cadenas de custodia, cuándo
y dónde se obtuvo la evidencia, su condición (signos de la
nota de daño o alteración).
• Resumen del análisis: resumir las herramientas utilizadas
para realizar el análisis, cómo se recuperan los datos
importantes (por ejemplo, el descifrado o datos borrados que
fueron recuperados), y cómo se han eliminado los archivos
irrelevantes.

68
 Estructura básica
• Análisis del sistema de archivos: inventario de los archivos
importantes, directorios y recuperados. Los datos que son
relevantes para la investigación con características
importantes, tales como nombres de ruta, timestamps, los
valores de MD5, y la ubicación de sector físico en el disco.
Además de notar cualquier ausencia inusual de datos.
• Análisis: describir el análisis temporal, funcional, relacional y
otros análisis realizados.
• Conclusiones: resumen de las conclusiones debe seguir
lógicamente las secciones anteriores del informe y debe hacer
referencia a elementos de prueba.
• Glosario de términos: Las explicaciones de los términos
técnicos utilizados en el informe.

69
 Hands On

70
 Timelines
• Una de las herramientas mas útiles que han creado en la fase
de examinación son las timelines.
• Con ellas podemos rastrear sospechas o verificar hechos
específicos:
• Análisis: podemos ver si se han borrado, modificado o
accedido archivos importantes o claves para la
investigacion.
• Saltos de tiempo: nos dicen si el dispositivo fue
apagado, cambio su fecha o timezone.
• Secuencias conocidas existen secuencias de
timelines conocidas como:
• Inicio, actualizaciones y logins del sistema.
• Conexiones ssh.

71
 El problema de las timelines
• Hay un problema muy común entre las timelines, es que son
muy difíciles de estudiar cuando el sistema analizado es muy
grande.
• Para estos casos existen visualizadores de timelines como
Timesketch o Kibana.

72
 Autopsy
• Previamente mencionada, Autopsy es una plataforma de
forensia digital que nos brinda una interfaz gráfica para utilizar
varias aplicaciones forenses, incluyendo entre ellas las que
componen el The Sleuth Kit.
• Comúnmente utilizada tanto para análisis forense como para
recuperar las fotos de tu cámara.
• Se las considera una de las herramientas de software libre
para análisis forenses más útiles.
• Actualmente existe 2 versiones: Autopsy2 y Autopsy3
(disponible sólo para Windows pero compilable en sistemas
Unix)

73
 Autopsy2 timeline

74
 Autopsy3 timeline
• Como se puede apreciar existe una gran mejora en el análisis
de timelines en Autopsy3, con interfaz gráfica y posibilidad de
navegación.

75
 Timesketch
• Timesketch es un graficador de líneas de tiempo creado por
google.
• Nos permite, entre otras cosas:
• Visualizar saltos de tiempo.
• Tagear eventos.
• Línea de tiempo y calendario.
• Buscar y filtrar eventos.

76
 Kibana
• Kibana es un graficador de la base de datos elasticsearch.
• Nos permite, entre otras cosas:
• Línea de tiempo.
• Hacer consultas y filtrar eventos: Elasticsearch es muy
poderoso y robusto en este sentido.
• Generar una variedad de gráficos muy útiles.

77
 El problema de las timelines
• Los graficadores pueden simplificar mucho la búsqueda de
información y eventos pero, igualmente, el investigador debe
saber donde buscar.
• Por ejemplo, un login ssh puede modificar archivos en todos
los siguientes lugares:

78
 Comandos útiles

79
 Buscar archivos y carpetas
• Se pueden realizar búsquedas por archivos y carpetas
usando los siguientes comandos:
• find
• locate
• grep
• strings

80
 Find
• Busca a partir de un directorio seleccionado según alguna
cadena de caracteres que sele proporcione como parámetro
• Básicamente recorre el árbol de directorios y filtra según lo
que se le solicite
• Devuelve un listado de los archivos/directorios que coincidan
con la búsqueda

81
 Find
• Encontrar todos los archivos PNG que contengan la cadena
'malware' en su nombre sin importar las mayúsculas o
minúsculas.
find . -iwholename "*malware*.png

• Encontrar todos los archivos creados en los últimos 2 días y

guardarlos en list.txt
find . -ctime -2 > list.txt

82
 Locate
• Locate supone un salto en el rendimiento respecto al
comando find siempre y cuando busquemos los archivos por
su nombre.
• La razón del rendimiento de locate es que utiliza un índice de
nombres de archivos normalmente ubicado en
/var/lib/mlocate/mlocate.db.
• Normalmente todos los los sistemas UNIX tienen una tarea de
cron que actualiza dicha base de datos, aún así si queremos
actualizarla manualmente podemos ejecutar el comando
updatedb.

83
 Locate
• Buscar por archivos que contienen la palabra 'finance' en su
nombre, sin importar mayusculas o minusculas.
locate finance -i

Buscar por todos los archivos PNG

locate "\*.png"

84
 Grep
• Muy utilizado comando sobre todo utilizando tuberías ( | ),
• Se utilza principalmente para buscar ficheros según el
contenido de los mismos.
#busca la cadena "string" en todos los archivos .txt
grep 'string' *.txt

#busca la cadena "main(" enn todos los archivos .c

grep 'main(' *.c

#busca la cadena ultra (sin tener en cuenta mayúsculas/minúsculas

grep -i 'ultra' *.conf

#busca la cadena ultra (sin tener en cuenta mayúsculas/minúsculas

#ficheros .conf en el directorio actual y subdirectorios del mism
grep -iR 'ultra' *.conf

85
 Strings
• Muestra las cadenas de caracteres imprimibles que contengan
los archivos, útil para visualizar ficheros que no sean, o que no
se sepa que son o contienen texto plano.
• Muy útil, ya que puede mostrarnos de manera simple
cadenas que contengan los archivos malintensionados,
como:
• Conexiones a Hosts o IPs
• Headers y tipo de archivo
• notas o comentarios en el código
strings malware.bash

86
 Combinando
• Estos comandos suelen combinarse en scripts donde la salida
de 1 de ellos se transforma en la entrada de otro
• Esto suele hacer con |
• Por ejemplo buscar todos los archivos con jose en su nombre,
obtener los strings que lo componen y obtener las direcciones
ips.
for i in $(find /tmp -name "*jose*"); do
strings $i |grep 192.168. >> ips_192.168.txt;
done;

87
 Análisis de archivos
• Con autopsy2 podemos ver un archivo desde la interfaz
utilizando automáticamente comando que ya hemos visto
como strings, o verlo en hexadecimal o ASCII

88
 Análisis de archivos
• Muchas veces los programas maliciosos que han atacado
sistemas que estamos analizando se han utilizado para atacar
a otros sistemas anteriormente y ya son reconocidos como
malware por los antivirus.
• Entonces, es muy común tomar los archivos correspondientes
y compararlos con bases de datos de malware en vez de
analizarlo desde cero.
• Existen motores de búsqueda online como VirusTotal y
AndroTotal (APKs de android) que nos permiten saber si un
archivo es malware.
• Estos sitios lo que hacen es pasar los archivos a través de
múltiples motores de antivirus y nos presentan el resultado
• Para ahorrar tiempo y recursos en base a los hashes MD5 o
SHA1 de los archivos podemos consultar análisis ya
realizados por otros usuarios

89
 VirusTotal

90
 AndroTotal

91