En el pasado Laboratorio de Informática Forense realizado en la ciudad de Medellín, se utilizó el recurso publicado por la gente UNAM en el magnífico reto sobre Informática Forense.

Escenario propuesto:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

(más…)

Es necesario aclarar que casi la totalidad de los video tutoriales que serán publicados en el transcurso del desarrollo de los laboratorios de informática forense, están dirigidos a cubrir únicamente el desarrollo del Laboratorio número 4 realizado por Labs.DragonJAR.org en la ciudad de Medellín, como se aclaró desde un comienzo este laboratorio está basado completamente en el recurso publicado por la gente de UNAM.

A pesar de ello, muchos procedimientos registrados en los videos pueden ser utilizados en diferentes escenarios que se asemejen de alguna forma.

(más…)

Para continuar con el laboratorio se hace necesario identificar el tipo de evidencia analizar. Pues aún no se tiene información sobre la misma (bien podría tratarse de una imágen de disco, partición u otro tipo de imágen).

Para este propósito bastará, con analizar los primeros bytes de la imágen con un editor hexadecimal.

(más…)

Una vez definido el sistema de archivos y la información relevante sobre la imágen a analizar, procederemos a implementar nuestro entorno de trabajo.

Para ello utilizaremos la partición objetivo como una unidad más en nuestra máquina. Para esta labor haremos uso de la solución software Mount Image Pro.

Mount Image Pro nos permitirá montar en Windows los archivos de imágenes, conservando la integridad de la imagen a analizar.

En el siguiente video tutorial se detallará el paso a paso del proceso de instalación de Mount Image Pro en nuestra máquina. Además mostraré el procedimiento de implementación de la imágen objetivo como una unidad más en nuestro PC.

Para continuar con el análisis se hace necesario un pimer acercamiento a nuestro sistema objetivo, para ello se muestra una simple exploración por los diferentes archivos y carpetas contenidas en nuestro sistema.

Esta exploración se lleva a cabo sobre el entorno de trabajo implementado con Mount Image Pro, esto con la finalidad de no alterar la evidencia y tratando de entrar en un primer contacto con el sistema de archivos del sistema (Servidor Web Apache, WebERP, Carpetas y Archivos personales, etc.)

Esta entrega hace referencia sobre el procedimiento necesario para llevar a cabo la creación de un nuevo caso en la solución software para Análisis Forense: EnCase.

EnCase Enterprise/Forensic:

EnCase proporciona las herramientas más avanzadas para el Análisis Forense de Sistemas e Investigaciones Digitales. Con un entorno gráfico intuitivo, flexible y un rendimiento sin igual, EnCase proporciona a los investigadores todo lo necesario para realizar análisis a gran escala en investigaciones complejas con precisión y seguridad.

Una solución premiada que garantiza por completo la integridad de la información tratada permitiendo a los analistas gestionar con facilidad grandes volúmenes de pruebas digitales incluso en ficheros borrados, en áreas de slack, zonas de paginación y clusters sin asignar.

• Adquisición de imágenes forenses utilizando técnicas no invasivas con soporte para múltiples sistemas: Windows, MAC OS, Linux, Solaris, HP UX
• Soporte Unicode completo
• Capacidad para análisis concurrente de múltiples sistemas
• Herramientas de búsqueda avanzada
• Soporte para RAID 0,1 y 5
• Soporte para Sistemas de Fichero NTFS comprimidos
• Gestión de filtros compuestos
• Tiempos de respuesta únicos gracias a múltiples caches a nivel de sector y algoritmos de búsqueda optimizados

El video tutorial muestra entonces el proceso de creación de un caso en esta herramienta, además de una simple exploración por el sistema de archivos en la imágen implementada con Mount Image Pro.

Descargar video tutorial de creación de un caso con EnCase Enterprise/Forensics (password: www.dragonjar.org)

Más información sobre EnCase
Página Oficial de EnCase

Se hace necesario recolectar la mayor cantidad de información posible en el sistema objetivo. Una de estas fuentes de información hace referencia a las actualizaciones presentes en dicho sistema.

Para ello, solo basta con explorar un poco algunos directorios del sistema, en los cuales se encuentran algunos logs interesantes y que revelan las actualizaciones del mismo.

Cabe aclarar que este no es el único método para determinar las actualizaciones del sistema, este es solo uno de ellos, pues en otras publicaciones veremos otros procedimientos para determinarlas (registro).

El siguiente video tutorial presenta un simple exploración por el sistema de archivos del objetivo, además de la ubicación y consulta correspondiente a cada log de actualización (ID de HotFix – Falla que corrige, Fecha y hora de actualización, etc).

A partir de este momento comienza la parte un poco más “operativa” y que exige un alto grado de concentración, dedicación y sobre todo mucha paciencia .

Es el momento de comenzar a interactuar más con el sistema a analizar para recolectar toda la información necesaria y que muestre los resultados a los objetivos propuestos.

Para esta finalidad nada mejor que la información contenida en el registro de Windows, pero para poder entender de que va todo esto se hace necesario definir y tener muy claro este concepto.

Veamos:

El Registro de Windows

El Registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo Microsoft Windows.

Contiene información y configuraciones de todo el hardware, software, usuarios, y preferencias del PC. Si un usuario hace cambios en las configuraciones del “Panel de control”, en las asociaciones de ficheros, en las políticas del sistema o en el software instalado, los cambios son reflejados y almacenados en el registro.

El Registro se almacena en varios ficheros que, dependiendo de la versión de Windows, se ubican en diferentes lugares dentro del sistema local, excepto NTuser (o archivo de usuario), que puede ser ubicado en otra máquina para permitir perfiles móviles.

Windows NT, 2000, XP, Server 2003 y Vista

Los siguientes archivos del Registro se encuentran en %SystemRoot%\System32\Config\:

• Sam – HKEY_LOCAL_MACHINE\SAM
• Security – HKEY_LOCAL_MACHINE\SECURITY
• Software – HKEY_LOCAL_MACHINE\SOFTWARE
• System – HKEY_LOCAL_MACHINE\SYSTEM
• Default – HKEY_USERS\DEFAULT
• Userdiff

(más…)

Una vez instalada la herramienta con la cual pretendamos analizar el archivo de registro de windows emprederemos la tarea de obtener la información correspondiente al software instalado en la máquina objetivo.

En mi caso lo haré con la solución software Alien Registry Viewer, veamos:

(más…)

Continuemos entonces con el análisis del registro de Windows y sigamos extrayendo información de interés que nos permita cubrir cada uno de los puntos dispuestos como objetivos del análisis.

Para ello seguiré haciendo uso de la herramienta Alien Registry Viewer. Veamos:

Así como vimos en la práctica anterior y pudimos determinar el software instalado en el sistema obejtivo, veremos como podemos determinar todos los usuarios, el sistema operativo y services pack, zona horaria, procesador, interfaces de red, entre muchos otros datos de interés.

(más…)