Creación de imágenes para análisis forense

Sesión 1:

Captura de memoria RAM

El objetivo de esta sesión consiste en generar una imagen que contenga toda la
información relacionada con la memoria temporal de la máquina física, en especial
el registro de los procesos realizados, con el fin de analizar algún tipo de proceso o
servicio que haya estado ejecutando algún código malicioso en la computadora y de
esta manera alguna persona que maneje un terminal remoto obtenga información
relevante, se mostrará el proceso realizado con dos herramientas, estas son,
Volatility para Kali Linux 2020, Winpmem y FTK Imager para Windows.

A continuación se mostrará el procedimiento de análisis de una imagen de memoria

llamado “zeus.vmem” con ayuda de la herramienta Volatitlity en el sistema operativo
Kali Linux 2020.

Se realiza la instalación de la herramienta.

Luego de instalar la herramienta se accede al directorio donde se encuentra la

imagen de memoria descargada se ejecuta el comando para ver la información
general de la imagen de memoria temporal.

Al hacer esto, se observa que la memoria RAM a analizar corresponde a la de un

equipo con sistema operativo Windows XP Service Pack 2 de 32 bits.
Se ejecuta comando para ver el árbol de procesos de esta memoria.

Aparece una lista de los procesos guardados en ella, con su dirección de registro,
identificador y zona horaria. Una persona que no tiene mucho conocimiento de los
procesos que normalmente ejecuta el sistema operativo no puede identificar a
simple vista un proceso o comportamiento sospechoso.

Para este tipo de situaciones, Volatility ofrece un comando para escanear

conexiones, de esta forma se puede detectar si la memoria fue infectada por uno de
estos procesos de manera remota, el comando scanncons.
Se observa que el hosts local fue infectado con un proceso llamada svchost.exe con
el identificador 856, este fue ejecutado por la máquina remota con ip 193.104.41.75
utilizando el puerto 80 para protocolo HTTP no seguro.

Para confirmar si este proceso es malicioso, se hizo la consulta con el buscador

Google, encontrando el siguiente resultado:

Después de obtener la información de la imagen “Zeus.vmem” y escanear sus

conexiones, se pudo observar que el sistema tiene un proceso malicioso que se
hace pasar por legítimo, este se llama “svchost.exe”, esto hace que el proceso con
código dañino pase desapercibido ante muchos usuarios (troyano), tambien debe
tenerse en cuenta que el proceso legítimo svchost.exe puede ejecutarse varias
veces en el administrador de tareas para diferentes funciones como las de red o de
escritorio remoto. Con el tiempo el código malicioso que contiene este proceso
puede robar información como contraseñas, datos de una cuenta bancaria y otro
tipo de de información confidencial, estos procesos se ejecutan en un equipo al
momento de acceder a sitios web de terceros para realizar descargas de software
pirata o al abrir correos que pueden estar infectados (spam).

Una forma de identificar este tipo de procesos es revisando la ubicación del archivo
que ejecuta este proceso, si este no se encuentra en el directorio que corresponde
normalmente o si el proceso tiene mal escrito su nombre, sería señal de un código
malicioso que se está ejecutando y debe ser eliminado cuanto antes.

Recomendaciones:

Ignorar correos enviados por remitentes desconocidos.

No utilizar software pirata, ya que este se utiliza para propagar infecciones.
Utilizar software antivirus de buena reputación.

Creación de imagen de memoria RAM con Winpmem y FTK Imager:

Winpmem es una herramienta para la adquisición de memoria en el sistema

operativo windows, cuando se tiene la sospecha de que la RAM está infectada y se
desea analizar, se utiliza esta para crear una imagen que represente el módulo de
memoria con su información almacenada, de esta manera puede ser analizada con
ayuda de otra computadora sin que se corra el riesgo de que la esta otra máquina
se infecte o altere la información contenida en la memoria física.

FTK Imager es otra herramienta que realiza la misma función que Winpmem, con
ayuda de un entorno gráfico, también permite crear imágenes forenses en diferentes
formatos y permite verificar los códigos hash y MD5 de la imagen de evidencia
generada, para comprobar que no se hayan alterado los datos en el dispositivo a
estudiar.

A continuación se explicará el proceso para crear una imagen de memoria en

Winpmem:

Se descarga la herramienta que funciona mediante cmd, del repositorio github

http.//urldellaherramienta y se puede guardar en cualquier ubicacion del sistema, en
este caso seria el escritorio.
Luego de esto se ejecuta el cmd en modo administrador para ir al directorio donde
se encuentra la herramienta descargada.

Después de esto se ejecuta la herramienta ubicada en el mismo directorio de la

siguiente manera.

En el anterior comando:

-- mode indica el tipo de memoria al cual se le generará la imagen forense, en este

caso es una memoria física.

-o se utiliza para indicar el nombre de la imagen generada despues de hacer la

adquisición con la extensión .mem.

Después de ejecutar el comando exitosamente, se generaría la imagen en el mismo

directorio.

Creación de imagen forense con FTK Imager:

Para crear la imagen de la evidencia con esta herramienta, se debe registrar en un

formulario para descargar la aplicación que se encentra al seleccionar la opción
download en el siguiente link https://accessdata.com/product-download/ftk-imager-
version-4-2-1, hacer su instalación y ejecutarla para ver el siguiente entorno gráfico.
Luego seleccionar File -> Capture Memory, aparecerá la siguiente ventana.

Una vez completado el proceso de adquisición de imagen, el archivo la imagen

forense de la memoria RAM, debe mostrarse en el directorio indicado anteriormente
Cualquiera de las imágenes generadas anteriormente por herramientas de windows,
pueden ser analizadas por una herramienta como google rekall.

Sesión 2:

Herramientas de creación de imágenes forenses para unidades de

almacenamiento.

Además de crear imágenes forenses para analizar los procesos almacenados en la

cola de la memoria RAM, también es posible crear imágenes para unidades de
almacenamiento (fijas y removibles). Las imágenes generadas de estas unidades
pueden informar desde los archivos almacenados en ellas, hasta el número cilindros
y de sectores (dañados y en buen estado), junto con la validación de los MD5 y
Hash, para comprobar que el estado de los dispositivos a estudiar no haya sido
alterado. Estas imágenes, la información obtenida en las imágenes puede ser
analizada por otras aplicaciones como autopsy, rekall y otras que realizan la misma
función.

A continuación se explicará el proceso de creación de imágenes en diferentes

formatos (dd, ewf y EF0) con ayuda de herramientas utilizadas en Kali Linux y
Windows.

dcfldd y dc3dd:

GNU dd es un programa de la familia de los sistemas operativos UNIX, que permite

la creación de imágenes forenses de unidades de almacenamiento a bajo nivel. Sin
embargo se crearon dos versiones para este programa con el fin de asegurar la
integridad de los datos copiados y mejorar su rendimiento, estas son dcfldd y dc3dd.

A continuación se explicará el proceso de creación de imagen de unidades de

almacenamiento con estas dos versiones.
dcfldd:

dcfldd es una versión mejorada de GNU dd, este programa permite hacer hashing
sobre la marcha, es decir que a medida que se copian varios sectores de la
memoria fija o extraíble se va realizando un cifrado, esto permite garantizar la
integridad de los datos. Sin embargo esta forma de cifrado hace que el proceso de
copiado sea bastante lento.

dcfldd también tiene otra ventaja y es que recupera primero información de los
sectores en buen estado y por último recupera la información que más pueda de los
defectuosos.

Para comenzar el proceso de copiado, se debe identificar el dispositivo para adquirir

la imagen con el comando fdisk -l, que muestra la lista de las unidades del
almacenamiento conectadas. La unidad a utilizar es /dev/mmcblk0 que es la
designación para una memoria SD.

Para iniciar el proceso con este dispositivo, se digita el comando

dcfldd if=/dev/mmcblk0 of=001.dd

Donde:
if - hace referencia a la unidad de entrada
of - hace referencia al archivo de salida con su extensión (archivo generado al
terminar la copia).

Al ejecutar el programa, este tomó un tiempo de 2 horas generando una copia de la

unidad extraíble de 1GB con sistema de archivos NTFS.

Al final, el programa informa la cantidad de bloques y registros copiados. La imagen

con formato .dd ya es generada en el mismo directorio para ser analizada con
autopsy.

dc3dd:

dc3dd es un parche del programa dd, el proceso de copiado de la imagen es más

rápido que el de dcffldd, sin embargo, este programa en lugar de leer la información
de los sectores defectuosos, reemplaza su valor con ceros.

Para realizar el proceso de copiado, se comienza instalando el programa, por medio

del comando apt como lo muestra la siguiente imagen.
Luego de instalar el programa, se identifica el dispositivo con el listado de unidades
(comando fdisk -l).

Según la imagen anterior, se elige la misma unidad que para el programa anterior
dc3dd if=/dev/mmcblk0 of=0002.dd

El proceso de creación de la imagen para este programa toma alrededor de 3

minutos, teniendo en cuenta que gran parte de sus sectores están defectuosos.
Al final, el programa informa la cantidad total de sectores copiados en la imagen .dd
y cuántos de estos fueron reemplazados por ceros, ya que se encontraban
defectuosos.

Ya que la imagen generada puede ser analizada con autopsy.

FTK Imager:

FTK Imager es una herramienta de creación de imágenes forenses para el sistema

operativo Windows que ofrece un entorno gráfico y velocidad al momento de crear la
copia de una unidad. También ofrece la posibilidad de ver detalladamente la
información de la unidad, para determinar si conviene hacer un posterior posterior
con una herramienta que realice dicha tarea. Puede generar imágenes forenses en
diferentes formatos (Raw dd, SMART, E01 y APF).

Para comenzar con el proceso de adquisición de imagen, se selecciona File->

create Disk Image y aparecerá una ventana que pregunta el tipo de formato como
la siguiente:
Luego preguntará el tipo de unidad al que se desea crear la imagen, en este caso se
selecciona memoria física.

Para la creación de la imagen con esta herramienta, se hace uso de una USB de 8
GB, en la siguiente ventana se selecciona esta unidad.
La siguiente ventana se utiliza para generar metadatos sobre la evidencia a generar,
por ejemplo el caso número 001, una breve descripción, nombre del examinador y
unas notas opcionales.

Luego se elige la carpeta de destino donde se desea generar la imagen.

Después de dar la orden de ejecutar, el programa realizará el proceso de creación
de la imagen y de verificación, en este último verifica el hash y el MD5 para
garantizar que el estado o la información del dispositivo no ha sido alterada, el
proceso de creación tardó 5 minutos.

Como parte de las funciones para obtener una vista previa de la información en el
dispositivo, se genera en el directorio de destino un archivo de texto, con los
metadatos registrados, valores de la configuración acompañados de información de
su estado físico (número de sectores, sectores por pista, cilindros, bytes por sector,
tamaño), los códigos MD5 y SHA con los cuales se hizo la verificación, su fecha de
creación y directorio de destino.

La siguiente imagen tiene información de los sectores y programas almacenados en

la memoria USB, con esto una persona experta podría identificar alguna aplicación
sospechosa o pensaría en la opción de realizar un análisis por lo otra cosa vista en
la información previa.
El análisis para esta imagen podría ser realizado en autopsy, en caso de utilizar una
computadora con Linux u otras herramientas como rekall y AccessData Forensic
Toolkit.

ewfacquire

Esta herramienta genera imágenes en formato ewf (Expert Witness Compress

Format), ewf acquire adquiere datos de la unidad en un formato equivalente a la
herramienta EnCase y FTK Imager, también tiene la opción de convertir una imagen
en formato Raw (dd) a un formato ewf.

Para comenzar se hace la instalación de este programa con ayuda del comando
apt-get install ewf-tools.

Luego se busca el dispositivo en el listado de unidades que es /dev/sdb,

designación para una USB, con su porte lógica y física.

El programa retornará información general del dispositivos y preguntará opciones

para hacer el proceso de adquisición de imagen, como el tipo de copiado, en este
caso se selecciones rápido (fast), memoria física (Phsysical), tamaño de bytes para
la imagen 10GB, en el resto de las preguntas se dejan los valores por defecto.
Una vez seleccionadas estas opciones, se elige el programa retorna información de
la configuración realizada y por defecto toma la opción para realizar la copia.
Cuando el programa termina el proceso toma los retorna la cantidad de sectores
copiados y el código de verificación.
guymager