Análisis Forense II - Adquisición de memoria RAM

Buenas compañeros,

Con eso de que uno cumple años xd he querido regalaros esta entrada que sigue el hilo de la anterior para tener una toma de contacto con el mundo del análisis forense. Este post se centra en el proceso de adquisición de evidencias "en caliente" para adquirir la memoria RAM de un ordenador. Del mismo modo, se van a explicar los pasos a seguir para su posterior análisis.

Este proceso está relacionado con la labor profesional de un perito informático al que le solicitan el análisis de un equipo debido a que ha sido infectado por un malware o un empleado descontento que está extrayendo información confidencial.

El motivo de llamarse una adquisición en caliente está relacionado con la memoria volátil y no volátil. La memoria RAM sólo se puede adquirir mientras el ordenador se encuentra encendido, una vez apagado es imposible.

Bueno vamos al lio!

Para realizar el volcado de memoria se pueden emplear dos herramientas: DumpIt y FTK Imager. En este caso se ha empleado la suite FTK Imager.

Para simular un caso real se ha empleado un disco duro con todas las herramientas que se van a utilizar.  Esta buena práctica se emplea para evitar la modificación de la RAM con la ejecución de los programas del PC, así como no sé sabe si dichos programas han sido modificados para que se obtengan resultados predeterminados.

En el caso de emplear DumpIt se realizaría desde la consola de Windows:

En este caso, se ha empleado FTK Imager. Para ello, se crea una nueva imagen, se selecciona el formato de la imagen (EO1) y por último, la ubicación donde se desea guardar de tal manera que comienza la adquisición de memoria RAM.

Para respetar la cadena de custodia se realiza un hash del volcado de memoria RAM. Para ello, se pueden emplear herramientas como Winhex o Hashmyfiles.

Una vez adquirida la RAM en un dispositivo externo, se pasa a su análisis. Se va a emplear la herramienta Volatility para analizar el volcado de memoria RAM, así como para obtener datos de la misma.

Importante: Volatility tiene su propio ejecutable pero mola más emplear la versión es python así se puede "jugar" y me parece más potente. Al emplear python (yo tengo la 2.7) con Volatility es necesario la descarga e instalación de sus dependencias a través de librerías precompiladas. Adjunto las dependencias necesarias (PyCryto y Distorm3):

http://www.voidspace.org.uk/python/modules.shtml#pycrypto

https://pypi.python.org/pypi/distorm3/3.3.0

Para determinar el formato del volcado se emplea el plugin Imageinfo:

vol.py imageinfo –f D:\...\memdump.mem

Como se observa en el campo Suggesting Profile indica que podría ser un

Win7SPOx64

Seguidamente se muestran los programas que se estaban ejecutando en el momento en el que se ha capturado la memoria RAM. Para ello, empleando el plugin pslist:

vol.py pslist --profile=Win7sP1x64 –f

D:\...\memdump.mem

A continuación, se observa FTK Imager, que fue el software empleado:

También se cuenta con el plugin pstree para representar la ejecución de programa en forma de árbol.

Finalmente, se puede también obtener el historial de navegación del navegador web que se encontraba en ejecución en el momento de la adquisición de memoria.
Sin embargo, hace falta la instalación de dos plugins especiales (los plugins para IE si los tiene por defecto, pero sinceramente todos sabemos que IE se autodestruye al abrirse xd). Volatility no trae en la instalación estos plugins. Por ello, son necesarios los plugins:

- Firefoxhistory
- Firefoxcookies
- Firefoxdownloads

Buscando en Internet es fácil encontrar el código de los mismos. Adicionalmente, es necesario el
plugin sqlite_help pues tiene dependencia con los dos anteriores.

Si en el PC que se va analizar tuviera abierto Firefox, con el siguiente comando se exportaría las urls que tuviera abiertas en ese momento así como todas las descargas que hubiera hecho y el historial de sitios web vistos:

Tal que viendo el fichero exportado:

Esta información es realmente útil para un perito informático para realizar su labor. Por ejemplo, si suponemos que ese equipo estuviera infectado con una apt que se comunicará con su C&C (Command and Control) se podría ver ese tráfico si en ese momento se estuvieran enviado peticiones.

Ya por último, citar que Volatility cuenta con una interfaz gráfica para los que no les mole las ventanas de comando y prefieran tirar de botón rojo xd. Se llama VOLIX II, sin embargo, no contiene todos los plugins y además sólo captura la navegación para IE.

Así que eso es todo, espero que os sea útil y para cualquier duda, comentario, queja o agradecimiento xd no dudéis en escribir un comentario.

Saludos.

NaxHack5

"La mejor defensa es un buen ataque"

Análisis Forense I - Recuperación de ficheros

Buenas compis,

Esta entrada se basa en una introducción de las técnicas del análisis forense, en este caso para recuperar ficheros que hayan podido ser borrados.

Para ello, se va a considerar el siguiente escenario: Un amigo ha perdido las prácticas de la carrera que tenía en un pendrive de manera accidental y nos pide que le ayudemos.

Para la recuperación de ficheros, se pueden emplear las siguientes herramientas (existen más, pero esta son las que a mí me gustan =D)

FTK Imager

Lo primero el link de descarga: http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.2 

En primer lugar, se clica en añadir una nueva evidencia:

Importante, hay que seleccionar la opción de dispositivo físico, de esta manera seleccionamos la totalidad del dispositivo externo.

A continuación, se selecciona dicho dispositivo externo y se visualiza el sistema de ficheros del dispositivo físico externo:

Como se observa hay archivos que tienen en la parte izquierda una 'X', esto indica que ha sido borrado.

En función de su nivel de "borrado" pueden ser recuperados o no. Hay que indicar que borrar un archivo indica mover a la papelera, sin embargo, no se borra sino que se puede llegar a recuperar hasta que se pierden los enlaces de la tabla o bien la zona que ocupa haya sido sobrescrita, en función de ello, se podría recuperar total o parcialmente.

En el caso del fichero seleccionado se puede apreciar en la parte interior la vista previa del fichero, en este caso una imagen. De este modo, se podría recuperar. Ahora bien en otras situaciones, es posible que la imagen se pueda ver una parte de ella, lo que indica que ha sido parcialmente borrada y sólo se podría recuperar esa parte.

Lo que nos interesa, para recuperar la imagen botón derecho "Export Files" y se abre el panel de navegación para indicar el destino dónde se desea guardar.

Esta tarea puede ser algo tediosa si existe un gran número de ficheros a recuperar al tener que hacerlo manualmente. De ahí se presenta la siguiente herramienta.

Recuva

Link descarga: https://www.piriform.com/recuva

Se trata de una herramienta semiautomática que con una fácil configuración inicia la recuperación de ficheros.

En primer lugar, el asistente de Recuva nos pregunta el orden (la prioridad) del tipo de ficheros que se desean recuperar:

Seguidamente, se pregunta la ubicación de dónde se desea recuperar los ficheros:

Por último, se puede marcar el checkbox de "Escaneo profundo". Una vez acabado el escaneo se muestran todos los ficheros analizados indicando cuáles pueden ser recuperados totalmente o han sido dañados o sobrescritos.

Una vez seleccionados los que se desean recuperar, se elige la ubicación destino y se indica un resumen de la recuperación:

Photorec

Link descarga: http://www.cgsecurity.org/wiki

A diferencia de los anteriores no requiere instalación. Se extrae el .zip y buscar la photorec.win.exe

En primer lugar, hay que revisar que Photorec ha detectado correctamente las unidades. Destacar que como norma general cada unidad aparece de forma duplicado: una corresponde al disco físico y otra a la unidad logica, a la que le asigna Windows

A continuación, se debe seleccionar la opción Whole que analiza todo el disco.

Para recuperar el sistema de archivos, Photorec necesita conocer el tipo del sistema de ficheros. Una vez indicado, se debe seleccionar la ubicación de dónde se desea almacenar los ficheros recuperados. Para ello, se recomienda crear una carpeta, por ejemplo, llamada recuperacion dentro de la carpeta de Photorec.

Si se no se selecciona, se almacenarán en la ubicación en dónde se encontraban borrados.

Una vez finalizado, se muestra el resumen de recuperación:

 Así que yendo a la carpeta que se había indicado se tienen los ficheros recuperados.

Espero que os haya gustado. Para cualquier duda o comentario os invito a comentar en el post.

Saludos.

NaxHack5

La mejor defensa es un buen ataque