| Análisis de Fuentes de Evidencia en SSOO Windows |
Utilidades
○ Windows SysInternals
○ Utilidades de Nirsoft
ANÁLISIS DE DATOS VOLÁTILES
Estructura de los Procesos
● Orden de arranque1:
○ Registro
○ Inicialización de los dispositivos
○ Carga de los drivers de sistema
○ Carga del gestor de sesiones (smss)
○ Ejecución de tareas previas al arranque o pendientes
○ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\BootExecute
○ Creación de la sesión
● Ejecución del programa de inicialización (wininit.exe)
○ Carga de los servicios y drivers de los dispositivos (services.exe)
○ Arranque del servicio de subsistema de autoridad de seguridad local (lsass.exe)
● Carga de (winlogon.exe)
○ Arranque de la interfaz de login
● Al hacer un login válido se completa el inicio del sistema
○ Ejecución de los programas de inicio de usuario (userinit.exe)
■ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
○ Ejecución de la shell (explorer.exe)
■ HKEY_LOCAL_MACHIME\Software\Microsoft\WindowsNT\CurrentVersion\Winlogn\Shell
Analisis de los datos de una imagen
Volatily
○ Paso 1: Obtener el perfil de la memoria
vol.exe -f imageinfo
○ Paso 2: Obtener información de los procesos
vol.exe -f --profile= pslist
○ Paso 3: Obtener información de jerarquía de los procesos
vol.exe -f --profile= pstree
○ Obtener el historial de comandos
vol.exe -f --profile= cmdscan
○ Mostrar la salida y entrada completa de la consola
vol.exe -f --profile= consoles
○ Listar las librerías relacionadas con cada proceso
vol.exe -f --profile= dlllist
○ Conexiones de red establecidas por los procesos
vol.exe -f --profile= netscan
Herramientas para visualizar los procesos:
○ Con GUI:
■ procexp.exe (de Sysinternals Suite)
○ Por Consola:
■ tasklist (comando nativo de Windows)
■ pslist.exe (de Sysinternals Suite)
■ foremost ruta -T , recupera un archivo recuperado con volatily p.ej. un pdf (linux)
ANÁLISIS DE DATOS NO VOLÁTILES
Programas
● Los datos de configuración que son generales para todos los 'usuarios', en, C:\ProgramData
● Algunos programas también almacenan C:\ProgramFiles
○ Por usuario, C:\Users\Usuario\AppData
○ Hay tres tipos de datos
■ Local: configuraciones específicas de un dispositivo
■ LocalLow: parecido a local, pero con aplicaciones de integridad más baja que tienen requisitos de seguridad más restrictivos
■ Roaming: configuración de aplicaciones que se sincronizan entre dispositivos de un dominio
Apps de Windows
● Se instalan en C:\ProgramFiles\WindowsApps
● Sus datos generales se almacenan en C:\ProgramData\Microsoft\Windows\AppRepository
● Los datos de usuario en C:\Users\usuario\AppData\Local\Packages
Registro de Windows
● Registros del usuario:
○ NTUSER.dat: preferencias y actividad del usuario.C:\Users\\NTUSER.dat
● Programas y aplicaciones ejecutadas:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> UserAssist -> #GUID -> Count
○ Los GUID que más información nos aportan son:
■ {F4E57C4B-2036-45F0- A9AB-443BCFE33D9F} -> Listado de links usados para iniciar programas
■ {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} -> Contiene listado de archivos, enlaces y aplicaciones ejecutadas, indicando fechas y más información.
Estas claves vienen cifradas en ROT13, que desplaza cada letra 13 posiciones en el alfabeto.
Podemos descifrar estos valores en páginas como CyberChef
Podemos extraer la información ya descifrada con Registry Explorer
Información que podemos extraer:
● Extensiones de ficheros:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> FileExts
○ Esta información nos puede ayudar a saber que programas se usan para abrir cada tipo de fichero
● Directorios, archivos y aplicaciones abiertas recientemente:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> ComDlg23
○ Este registro tiene unos subdirectorios que aportan la siguiente información:
■ CIDSizeMRU: Aplicaciones abiertas recientemente
■ LastVisitedPidMRU: rastreo de ejecutables específicos para abrir los archivos mostrados en OpenSavePidMRU, mostrando el directorio donde se encontraban.
■ LastVisitedPidMRULegacy: directorios visitados previamente
■ OpenSavePidMRU: archivos abiertos recientemente mediante el cuadro de diálogo de Windows.
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> RunMRU
○ Muestra información del historial de las expresiones ejecutadas en la caja de Ejecutar (windos+R)
○ Este historial puede ser borrado, generando un evento de seguridad #4567
● Documentos abiertos con la Suite de Office:
ROOT -> Software -> Microsoft -> Office -> #number -> Word/Excel/powerpoint/Onenote... -> User MRU -> #profile ID ->File MRU / Place MRU
○ “File MRU” indica los ficheros abiertos y “Place MRU” las ubicaciones utilizadas por el usuario.
○ Aporta información de cuando fueron abiertos los archivos por última vez.
● Direcciones escritas en el explorador de Windows:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> TypedPaths
○ Este registro recoge las 25 últimas direcciones escritas manualmente en Windows explorer.
○ La última escrita siempre es url1, la penúltima url2 y así sucesivamente.
● Historial de búsqueda en la barra de búsqueda:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> WordWheelQuery
○ Registro de gran utilidad para estudiar el comportamiento del usuario y aquellas búsquedas realizadas.
● Documentos abiertos recientemente:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Explorer -> RecentDocs
○ Permite consultar los archivos abiertos recientemente, dividiéndose en subdirectorios por cada extensión usada en el sistema.
● Programas que se ejecutan al inicio del sistema:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Run
○ Ofrece las rutas de los ejecutables que inicial al arrancar el sistema.
○ Permite descubrir si existen programas maliciosos que inician en el sistema.
● Impresoras conectadas al sistema:
ROOT -> Software -> Microsoft -> Windows -> CurrentVersion -> Devices
○ Ofrece información de los drivers cargados en el sistema mediante el Administrador de Dispositivos
○ UsrClass.dat: información de la configuración relativa a procesos que no tienen permisos para escribir en el registro general
■ C:\Users\usuario\AppData\Local\Microsoft\Windows\UserClass.dat
● Otros registros:
○ Amcache: información sobre las aplicaciones ejecutadas
■ C:\Windows\AppCompat\Programs\Amcache.hve
● Registros del sistema:
○ DEFAULT: configuración del sistema
○ SAM: gestión de usuarios y configuración de seguridad
○ SECURITY: configuración de seguridad
○ SOFTWARE: programas instalados y su configuración
○ SYSTEM: configuración del sistema
○ Almacenados en C:\Windows\System32\config ó C:\Windows\System32\config\Regback, segun la version de Windows
● Información que podemos extraer:
○ Dispositivos USBs que han estado conectado al Sistema
■ SYSTEM\MountedDevices
○ Configuración de red
■ SYSTEM\ControlSet00n\Services\Tcpip\Parameters\Interfaces
○ Tarjetas de red
■ SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards
○ Conexiones WiFi
■ SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles\
○ Y un largo etc.
● Herramientas interesantes:
○ RegRipper. Extrae la información que presentan los registros por medio de plugins.
○ Registry Explorer. Permite navegar por los registros y examinar sus valores
○ También se puede usar el Editor de Registro que está incluido de forma nativa en Windows
Eventos del Sistema
● Los eventos que ocurren en el sistema almacenados en ficheros
● Se clasificanen función del componente que se ha visto afectado
○ Aplicaciones: software, drivers y demás componentes
○ Seguridad: políticas de auditoría de seguridad del sistema
○ Instalación: paquetes del sistema y actualizaciones
○ Sistema: programas instalados y resto de elementos
● La mejor forma de acceder a los eventos del sistema es mediante el Visor de Eventos
● Podemos usar una enciclopedia de eventos de windows para consultar los Id’s de los eventos y obtener más información de estos.
● Los archivos de eventos se almacenan en:
○ Windows 7/8/10: C:\Windows\System32\winevt\Logs
○ Windows XP: C:\Windows\System32\config
● Los archivos más relevantes en AFI (en Win10) son:
○ Application.evtx
○ Security.evtx
○ System.evtx
● En caso de tener una adquisición de un sistema Windows, realizaremos lo siguiente:
○ Abrir la fuente de evidencia con FTK Imager
○ Extraer los archivos de log del sistema que nos interese.
○ Usar el Visor de Eventos de Windows para abrir el archivo extraído mediante la opción “Abrir registro guardado...”
○ Analizar el registro como si se tratara de los propios eventos del sistema.
Elementos Recientes
● Los ficheros con los que el usuario ha interactuado recientemente se almacenan en un directorio
● Ese directorio contiene accesos rápidos (ficheros.lnk) a los ficheros
● Ruta:
C:\Usuarios\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
Jump Lists: cuando hacemos boton derecho y nos sale un desplegable
● En algunos programas estos atajos almacenan información interesante del usuario
○ Navegadores web
○ Explorador de archivos
● Se almacenan en
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
● Las identificamos por el AppId
● Herramientas interesantes: JLECmd
Sistema de Archivos NTFS
● Es el sistema de ficheros que se lleva utilizando por defecto en la partición principal desde Windows XP
● New Technology File System
● Ficheros más relevantes1:
○ $MFT: contiene información de todos los archivos y directorios que han sido almacenados
○ $MFTMirr: copia del MFT que permite su recuperación
○ $I30: información de los nombres de fichero y directorios en una ruta
○ $LogFile: guarda todas las transacciones realizadas
○ $BadClus: muestra los clusters del sistema que tienen sectores erróneos
○ $BitMap: muestra el estado de los clusters del sistema
● Software:
○ AnalyzeMFT
○ MFTECmd
○ MFTExplorer
○ INDXParse
Navegadores Web
● Información interesante a extraer:
○ Historial
○ Cookies
○ Historial de búsquedas
○ Credenciales web
○ Webs en caché
● Para ver la información necesitamos un visor SQLite
● Internet Explorer:
○ Almacena los datos en
■ C:\Users\usuario\AppData\Local\Microsoft\Windows
○ No tiene un directorio específico. Los más relevantes son:
■ INETCache: almacena los ficheros temporales
■ IEDownloadHistory: historial de descargas
■ INETCookies: cookies almacenadas
■ WebCache: caché de navegación.Almacena información incluso cuando la navegación es privada
○ Autocompletar contraseñas: Estas contraseñas se guardan en la siguiente ubicación del Registro: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2 Las contraseñas están encriptadas con la URL de los sitios web que solicitaron las contraseñas
● Google Chrome:
○ Almacena los datos en
■ C:\Users\\AppData\Local\Google\Chrome\UserData\Default
○ Directorios relevantes
■ Cache: caché de navegación
○ Ficheros relevantes. Tienen formato SQLite
■ History: historial de navegación
■ Cookies: cookies almacenadas
■ Login Data: usuarios y contraseñas almacenadas
■ Top Sites: webs más visitadas
● Mozilla Firefox:
○ Almacena los datos en
■ C:\Users\usuario\AppData\Roaming\Mozilla\Firefox\Profiles\...
○ El formato utilizado es SQLite. Dentro de la carpeta Profiles encontramos
■ Cookies.sqlite: cookies de las webs visitadas
■ Places.sqlite: historial de navegación y ficheros descargados
■ FormHistory.sqlite: datos de autocompletado
■ Signons.sqlite: contraseñas almacenadas
● Herramientas interesantes:
○ Browsing History View
○ ESEDatabaseView
○ IE Pass View, Chrome Pass y Password fox
○ Chrome Cache View, Chrome History View y Chrome Cookies View
○ HAckBrowserData
Windows Mail
● Cliente de correo nativo y por defecto del sistema
● Instalado en forma de app
● Ficheros de configuración
○ C:\Users\usuario\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe
● Correos electrónicos
○ C:\Users\usuario\AppData\Local\Comms\Unistore
○ C:\Users\usuario\AppData\Local\Comms\UnistoreDB
● Archivos adjuntos
○ C:\Users\usuario\AppData\Local\Packages\Microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState
Papelera de Reciclaje
● Es un contenedor localizado en C:\$Recycle.bin
● Es una zona del sistema operativo que el sistema muestra de una forma determinada al usuario
● Ordenada por carpetas dependiendo del identificador del usuario
● Por cada ficheroeliminado se generan dos en la papelera:
○ El fichero eliminado en sí, comienza por $R
○ Un fichero que contiene información sobre el archivo, que comienza por $I.
■ Tamaño del fichero
■ Fecha en la que se envió a la papelera
■ Ruta en la que se encontraba el archivo
|