Muchas veces la gente pregunta como hacen para saber que paso en un computador, ya sea para saber si desde ese PC se realizo algun acto ilegal o si alguien modifico o realizo alguna operacion que no deberia haber realizado en esa maquina, aqui les dejare una serie de procedimientos a realizar para obtener evidencia desde un equipo con Microsoft Windows.

Parto suponiendo que se ha realizado un trabajo de copia byte a byte del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos:

– Fecha y Hora de Inicio de la Investigación:

Date /t >> c:\evidencia_dragonjar\

Time /t >> c:\evidencia_dragonjar\

  • Realizar el análisis de Secuencia Temporal (“timeline”)
  • Búsqueda de contenido
  • Recuperación de binarios y documentos (borrados o corruptos)
  • Análisis de código (virus, troyanos, rootkits, etc.)
  • Buscar archivos ocultos o no usuales (slack space), comprensión de estructuras y bloques.
  • Buscar procesos no usuales y sockets abiertos
  • Buscar cuentas de usuario extrañas
  • Determinar el nivel de seguridad del sistema, posibles agujeros, etc…

Los Objetivos son:

  • Qué?
  • Cuándo?
  • Cómo?
  • Quién ?
  • Porqué ?

Buscar en Fuentes adicionales, que hagan parte de la Tipo-logia del sistema comprometido y de la imagen del Dispositivo de almacenamiento.

1. Logs de elementos perimetrales, appliance, UMT, Routers, Switches, Firewalls, IDS’s, IPS’s. VPN Servidores de Autenticacion TACAS, Radius, etc.
2. Información de los DHCP o DNS’s, Port mirroring.
3. Servidores de Logs, Servidores Web, de Correo.
4. Del Sistema, Seguridad, Aplicaciones, BD’s
5. Analizadores de trafico y Monitoreo de Red, FTP’s, SSH, etc.
6. Cache del Sistema, temporales, directorio Prefetch, index.dat, cookies (C:\Documents and Settings\Nombre_Usuario\Cookies), directorio temporales de internet, historial, logs de mensajerías instantáneas, contactos, correos, pst, ost,etc.
7. Perfiles de usuarios (C:\Documents and Settings\usuario).
8. Archivos borrados, papelera de reciclaje (C:\Recycler\%USERSID%\INFO2).
9. Documentos recientes (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU).
10. Sistema de Registro de Windows (%systemroot%\system32\config) o recuperar de %SystemRoot%\repair.
11. Archivos de Service Pack y Hot fix.
12. Realizar búsquedas de ADS (Alterna Data Stream).
13. Identificar las cuentas de usuario (SAM).
14. Las ultimas 25 URLs listadas recientemente en Internet Explorer o Windows Explorer
(HKCU\Software\Microsoft\Internet Explorer\TypedURLs)
15. Almacenamiento de datos privados del usuario, como passwords, autocompletar, etc
(HKCU\Software\Microsoft\Protected Storage System Provider)
16. Mantiene registro de los programas, accesos directos y opciones del panel de control que el usuario a accesado (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist)
17. Mantiene los mapeos de red y la carpeta compartida
(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU)
(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2)
18. Contiene información de la configuración de los adaptadores de la Wireless HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces\GUID
19. Contiene información de la configuración de los adaptadores de Red (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID)
20. Utilizado por malware para activar un .exe
HKCR\exefile\shell\open\command\
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKCR\Drive\shell\
HKCR\Folder\shell\
21. Mapea un malware (programa) como debbuger (HKLM\SOFTWARE\Microsoft\Windows) NT\CurrentVersion\Image File Execution Options\
22. Listado de los servicios de windows (HKLM\SYSTEM\CurrentControlSet\Services\)
23. USB o Pen drives montadas en windows (HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR)
24. Dispositivos montados (HKLM \SYSTEM\MountedDevices)
25. HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\
26. Aplicaciones des instaladas en Windows (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall)
27. Términos buscados con el buscador de windows
(HKCU \Software\Microsoft\Search Assistant\ACMru)
28. Key del registro del archivo de paginacion de windows (HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management)
29. Listado de comandos ejecutados con Inicio-Ejecutar HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
30. Archivos abiertos o almacenados recientemente (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU)
31. Revisión de Autoruns
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run)
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce)
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnceE)x
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices)
(HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce)
(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
32. Programas ejecutados recientemente HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
33. Lita de archivos abiertos o grabados con Windows Explorer HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
34. Software instalado en el sistema
HKLM\SOFTWARE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
35. Determinar Zona Horaria
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\StandardName:
‘Pacific Standard Time’
HKLM\SYSTEM\ControlSet001\Control\TimeZoneInformation\DaylightName:
‘Pacific Daylight Time’
Tipos de archivos como:
pfirewall.log = Firewall de Windows
schedlgu.txt = Tareas calendarizadas (programadas)
Logs Dr. Watson = Fallos en las aplicaciones
setupapi.log = Información de instalación de dispositivos y aplicaciones
NTUser.dat = almacena las key de registro del sistema (datos supremamente importantes como cuentas de correo usadas HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail)
Pagefile.sys = Memoria virtual del sistema
index.dat = Indice de referencia que Internet Explorer usa para buscar dentro de su historial
WindowsUpdate.log = Log de actualizaciones
memory.dump = Volcados de memoria

Congreso Hacker Colombia