https://www.welivesecurity.

com/la-es/2013/09/23/como-
realizar-analisis-forense-autopsy/

Cómo realizar un análisis forense con Autopsy

El análisis forense digital permite la identificación y
descubrimiento de información relevante en fuentes de
datos como imágenes de discos duros, memorias USB,
capturas de tráfico de red, o volcados de memoria de
computadoras. Hace algunas semanas estuvimos analizando
en qué consiste el análisis forense de la información y hoy se
aplicarán estas capacidades a

Matías Porolli 23 Sep 2013 - 12:22PM

Compartir

El análisis forense digital permite la identificación y

descubrimiento de información relevante en fuentes de datos como
imágenes de discos duros, memorias USB, capturas de tráfico de red, o
volcados de memoria de computadoras. Hace algunas semanas estuvimos
analizando en qué consiste el análisis forense de la información y hoy
se aplicarán estas capacidades a través de la suite Autopsy.
The Sleuth Kit es un conjunto de herramientas open source para
el análisis de imágenes de discos. Inicialmente desarrollada
para plataformas UNIX, esta suite actualmente se encuentra disponible
también para OS X y Windows. Además, TSK cuenta con una interfaz
gráfica conocida como Autopsyque agrupa todas sus herramientas y
plugins, cuya versión para Windows se utilizará en este post. Cuando se
abre Autopsy la primer tarea que se debe llevar a cabo es, o bien crear
un nuevo caso, o abrir uno existente, donde un caso es la unidad lógica
que contendrá todo lo relacionado a la investigación. Por lo tanto, al
crear un caso se ingresa información como su nombre y número y la
persona que examinará los datos. El siguiente paso consiste en asociar al
caso uno o más orígenes de datos, entre los cuales se encuentran los
discos físicos conectados a la computadora de análisis, o una imagen
forense que se ha adquirido previamente de la computadora a ser
investigada, con cualquiera de las herramientas que hemos visto en otros
posts. Como último paso para la creación del caso, debe configurarse
los módulos a utilizar para el análisis, lo cual se observa en la siguiente
imagen:
 Estos módulos son los que permitirán el descubrimiento de información
relevante y se describen a continuación:

 Recent Activity: extrae la actividad reciente que se ha realizado en la computadora

bajo investigación. Esto incluye los documentos recientemente abiertos, dispositivos
conectados, historial web, cookies, descargas y marcadores, por ejemplo.

 Hash Lookup: permite agregar bases de datos con valores de hash para archivos
conocidos, como los archivos del sistema operativo o de aplicaciones instaladas. Así,
puede ahorrarse mucho tiempo al evitar realizar búsquedas en estos archivos
conocidos.

 Archive Extractor: permite recuperar archivos eliminados, basándose en los

metadatos residuales que quedan en el disco, así como también recuperar archivos
en espacios no asignados en el disco, mediante la detección de los encabezados de
archivos.
 Exif Image Parser: permite analizar la información disponible en el
encabezado Exif de los archivos de imagen JPEG que se encuentran en el disco. Esto
provee información acerca de la cámara con que se tomó la imagen, fecha y hora o la
geolocalización, entre otras cosas.

 Keyword Search: puede definirse una lista de palabras clave o expresiones regulares
a buscar en todo el disco. Como se observa en la imagen anterior, Autopsy ya viene
con una lista de expresiones regulares incluidas para búsqueda de números
telefónicos, direcciones IP, direcciones de correo electrónico y URL.

A partir de este momento comienza en forma automática el análisis con

los módulos seleccionados para la imagen forense cargada en el caso. El
progreso de cada etapa se muestra en la parte inferior derecha y los
resultados se van actualizando en la vista de árbol, como se observa en la
siguiente imagen:
Se observa que Autopsy realiza la extracción de contenido muy valioso
para una investigación, como el historial web, búsquedas web
realizadas o documentos recientemente abiertos, lo cual demoraría
mucho tiempo y sería tedioso de realizar para el investigador en forma
manual. Luego, en la siguiente imagen se observa el historial web
encontrado una vez que termina el proceso, para la imagen forense de un
disco de prueba:

En este caso se ha resaltado el último resultado, el cual lleva a un archivo

de mIRC con una lista de canales a los que posiblemente se conectaba el
usuario que está siendo investigado. Adicionalmente, el sistema de
archivos presente en la imagen forense puede ser recorrido de forma
jerárquica, pudiendo observar las particiones, así como también
los sectores no asignados en el disco:
En la imagen anterior se observa que el sistema de archivos es de tipo
NTFS, que el sistema operativo aparenta ser Windows XP y que existe
un usuario que se llama Mr. Evil. Luego, a partir de simple inspección y
del análisis del registro de Windows, puede obtenerse información
como la zona horaria utilizada, el nombre bajo el cual fue registrado el
sistema operativo, las aplicaciones instaladas, los documentos del
usuario a investigar o el último usuario que inició sesión. También se
observa que se ha recuperado de entre los archivos borrados la
carpeta $Unalloc, que si bien en este caso es irrelevante, permite ver la
capacidad de obtener archivos borrados a partir de sus metadatos.
También es importante destacar los sectores no asignados en el disco
(vol1 y vol3) a los cuales Autopsy permite aplicar la técnica
de carving para identificar archivos a partir de los encabezados más
comunes.

Otra función muy interesante de Autopsy es aquella que agrupa

los archivos en categorías, de tal manera de poder ver rápidamente la
cantidad de imágenes, audio o documentos presentes en el sistema de
archivos, clasificado por extensión:
Adicionalmente (aunque no se ve en la imagen anterior) Autopsy clasifica
los archivos de acuerdo con su última fecha de acceso o con su tamaño,
y permite el rápido acceso a los archivos eliminados.

Una técnica fundamental en el análisis de imágenes forenses es

la búsqueda por palabras clave, dado lo poco práctico que resultaría
para un investigador buscar pruebas de un delito inspeccionando archivo
por archivo. Así, Autopsy permite definir un listado de palabras o
expresiones a buscar en todos los archivos y sectores del disco en análisis,
lo cual se observa en la siguiente imagen:
En este caso se ha definido una lista con tres palabras con el objetivo de
encontrar evidencia que conecte al individuo con un caso particular de
hacking. Luego, el proceso de indexado realiza la búsqueda de estas
palabras construyendo un índice y al finalizar el mismo es posible buscar
en forma inmediata cada una de estas palabras clave:
En la imagen se observa que hay 55 hits para la palabra crack y entre los
resultados se encuentra una herramienta para romper contraseñas.
Además, se han encontrado 288 coincidencias para la palabra illegal, lo
cual puede develar información muy útil en el caso de que se
recuperen conversaciones, correos electrónicos almacenados o
cualquier otro tipo de archivo que conecte al sujeto investigado con
actividades ilegales.

Para finalizar este análisis es importante mencionar que

los resultados obtenidos pueden ser exportados a documentos HTML,
entre otros formatos ofrecidos, para la presentación de lo encontrado en
cualquier otro equipo que no cuente con Autopsy. En este post se ha
utilizado una imagen forense de prueba del proyecto CFReDS para los
análisis realizados; en particular, esta imagen contiene evidencia con la
cual se debe probar que el sujeto está involucrado en la captura ilegal de
paquetes de red y el robo de contraseñas. Se observa que
las posibilidades en el análisis son muy variadas, pudiendo
descubrir información oculta en el sistema de archivos,
recuperando archivos eliminados, o encontrando palabras clave en
chats o correos electrónicos.

Matías Porolli
Especialista de Awareness & Research