La Comunidad DragonJAR

Muchas veces la gente pregunta como hacen para saber que paso en un computador, ya sea para saber si desde ese PC se realizo algun acto ilegal o si alguien modifico o realizo alguna operacion que no deberia haber realizado en esa maquina, aqui les dejare una serie de procedimientos a realizar para obtener evidencia desde un equipo con Microsoft Windows.

Parto suponiendo que se ha realizado un trabajo de copia byte a byte del disco duro del equipo afectado, ha sido firmada (hash md5, SHA1), creado su TimeStamp y se esta trabajando desde una copia, ahora realizaremos procedimientos para obtención de la evidencia en la Fase de Análisis de Datos, con base en los logs y recuperación de archivos:

- Fecha y Hora de Inicio de la Investigación:

Date /t >> c:evidencia_dragonjar

Time /t >> c:evidencia_dragonjar

• Realizar el análisis de Secuencia Temporal (“timeline”)
• Búsqueda de contenido
• Recuperación de binarios y documentos (borrados o corruptos)
• Análisis de código (virus, troyanos, rootkits, etc.)
• Buscar archivos ocultos o no usuales (slack space), comprensión de estructuras y bloques.
• Buscar procesos no usuales y sockets abiertos
• Buscar cuentas de usuario extrañas
• Determinar el nivel de seguridad del sistema, posibles agujeros, etc…

Los Objetivos son:

• Qué?
• Cuándo?
• Cómo?
• Quién ?
• Porqué ?

Buscar en Fuentes adicionales, que hagan parte de la Tipo-logia del sistema comprometido y de la imagen del Dispositivo de almacenamiento.

1. Logs de elementos perimetrales, appliance, UMT, Routers, Switches, Firewalls, IDS’s, IPS’s. VPN Servidores de Autenticacion TACAS, Radius, etc.
2. Información de los DHCP o DNS’s, Port mirroring.
3. Servidores de Logs, Servidores Web, de Correo.
4. Del Sistema, Seguridad, Aplicaciones, BD’s
5. Analizadores de trafico y Monitoreo de Red, FTP’s, SSH, etc.
6. Cache del Sistema, temporales, directorio Prefetch, index.dat, cookies (C:Documents and SettingsNombre_UsuarioCookies), directorio temporales de internet, historial, logs de mensajerías instantáneas, contactos, correos, pst, ost,etc.
7. Perfiles de usuarios (C:Documents and Settingsusuario).
8. Archivos borrados, papelera de reciclaje (C:Recycler%USERSID%INFO2).
9. Documentos recientes (HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU).
10. Sistema de Registro de Windows (%systemroot%system32config) o recuperar de %SystemRoot%repair.
11. Archivos de Service Pack y Hot fix.
12. Realizar búsquedas de ADS (Alterna Data Stream).
13. Identificar las cuentas de usuario (SAM).
14. Las ultimas 25 URLs listadas recientemente en Internet Explorer o Windows Explorer
(HKCUSoftwareMicrosoftInternet ExplorerTypedURLs)
15. Almacenamiento de datos privados del usuario, como passwords, autocompletar, etc
(HKCUSoftwareMicrosoftProtected Storage System Provider)
16. Mantiene registro de los programas, accesos directos y opciones del panel de control que el usuario a accesado (HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist)
17. Mantiene los mapeos de red y la carpeta compartida
(HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMap Network Drive MRU)
(HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2)
18. Contiene información de la configuración de los adaptadores de la Wireless HKLMSOFTWAREMicrosoftWZCSVCParametersInterfacesGUID
19. Contiene información de la configuración de los adaptadores de Red (HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesGUID)
20. Utilizado por malware para activar un .exe
HKCRexefileshellopencommand
HKEY_CLASSES_ROOTbatfileshellopencommand
HKEY_CLASSES_ROOTcomfileshellopencommand
HKCRDriveshell
HKCRFoldershell
21. Mapea un malware (programa) como debbuger (HKLMSOFTWAREMicrosoftWindows) NTCurrentVersionImage File Execution Options
22. Listado de los servicios de windows (HKLMSYSTEMCurrentControlSetServices)
23. USB o Pen drives montadas en windows (HKLMSYSTEMCurrentControlSetEnumUSBSTOR)
24. Dispositivos montados (HKLM SYSTEMMountedDevices)
25. HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2CPCVolume
26. Aplicaciones des instaladas en Windows (HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall)
27. Términos buscados con el buscador de windows
(HKCU SoftwareMicrosoftSearch AssistantACMru)
28. Key del registro del archivo de paginacion de windows (HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management)
29. Listado de comandos ejecutados con Inicio-Ejecutar HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
30. Archivos abiertos o almacenados recientemente (HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedMRU)
31. Revisión de Autoruns
(HKLM SOFTWARE MicrosoftWindowsCurrentVersionRun)
(HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnce)
(HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunOnceE)x
(HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServices)
(HKLM SOFTWARE MicrosoftWindowsCurrentVersionRunServicesOnce)
(HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon)
32. Programas ejecutados recientemente HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedMRU
33. Lita de archivos abiertos o grabados con Windows Explorer HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU
34. Software instalado en el sistema
HKLMSOFTWARE
HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall
35. Determinar Zona Horaria
HKLMSYSTEMControlSet001ControlTimeZoneInformationStandardName:
‘Pacific Standard Time’
HKLMSYSTEMControlSet001ControlTimeZoneInformationDaylightName:
‘Pacific Daylight Time’
Tipos de archivos como:
pfirewall.log = Firewall de Windows
schedlgu.txt = Tareas calendarizadas (programadas)
Logs Dr. Watson = Fallos en las aplicaciones
setupapi.log = Información de instalación de dispositivos y aplicaciones
NTUser.dat = almacena las key de registro del sistema (datos supremamente importantes como cuentas de correo usadas HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionUnreadMail)
Pagefile.sys = Memoria virtual del sistema
index.dat = Indice de referencia que Internet Explorer usa para buscar dentro de su historial
WindowsUpdate.log = Log de actualizaciones
memory.dump = Volcados de memoria