Análisis Forense

Maestría en Ciberseguridad
Darío León
Conocimientos Formación
• Arquitectura empresarial (Togaf), análisis de negocio,
arquitectura, diseño y desarrollo de aplicaciones de
• Ingeniero en Sistemas
software, datos y seguridades. Informáticos de Computación /
• Arquitecto y Analista de seguridades.
• Análisis forense.
Escuela Politécnica Nacional
• Metodologías clásicas y ágiles de manejo de proyectos • Magister en Gerencia de
de software.
• Desarrollo full stack en plataforma Microsoft .Net
Sistemas y Tecnologías de la
• Lenguajes o Python o C# o JQuery o SQL o MDX o UML. Información / Universidad de Las
• Administración y arquitecto de bases de datos o Américas
Microsoft SQL Server o Informix o MySQL o PostgreSQL
o MongoDB o Apache Cassandra DB.
• Machine Learning con TensorFlow.
Darío León
Docencia / Instructor
• Universidad Técnica de
Ambato
• Universidad Tecnológica
Equinoccial
• Universidad de Las Américas
• Maint Cía. Ltda.
• New Horizons
Clientes
• Metropolitan Touring
• OnceDev
• Universidad de Las Américas
• Toni
• Produbanco
• Colegio Americano
• Ilustre Municipio Metropolitano de Quito
• Salud SA
• Dirección Nacional de Registro de Datos Públicos (gov)
• Ferrero del Ecuador
• Empresa Municipal de Agua Potable y Alcantarillado de Ibarra
• Superintendencia de Compañías
• Laboratorios Industriales Farmacéuticos Ecuatorianos
• Industrias Textiles Ecuatorianas Pinto
 Plan de Cátedra
20/06/2020
• Introducción
• Revisión teórica y Práctica
• Conceptos y herramientas
básicas.
• Exploración de elementos del
Windows OS.
• Captura de evidencia.
• Ram
• Storage
• Presentación trabajo estudio de
una tesis de maestría (van
Goethem, Henri Michael).
21/06/2020
• Presentaciones estudiantes de
una tesis de maestría.
• Revisión teórica y Práctica
• Scripting.
• Análisis forense con Suites
avanzadas.
• Revisión teórica análisis forense
• Presentación caso de estudio Mr.
Evil.
27/06/2020
• Presentaciones estudiantes caso
de estudio Mr. Evil.
• Revisión teórica y Práctica II
• Herramientas individuales
• Análisis forense con Suites
avanzadas.
28/06/2020
• Presentación reporte pericial.
• Estudio proceso pericial EC.
• Revisión teórica final.
• Presentación caso de estudio
Invent S.L.
Metodología

Adquisición Análisis Presentación

 El trabajo del analista forense El pico no
substituye al
Datos minero
Información
• Solicitud de un peritaje judicial
Conocimiento • Conclusiones
• Incidente de seguridad
• Informe pericial

• Lenguaje no técnico

Cadena de valor
El trabajo del analista forense

Ante un incidente de seguridad

o investigación de un delito
Determinar el objetivo de la
investigación
Conocimiento de sistemas de
almacenamiento, OS,
elementos de red, etc.
Herramientas
¿Qué usar?
• Tools • Python
• Sysinternals Suite • …
• WinAudit
• USB WriteProtector
• LastActivityView
• Shadowexplorer
• … • Suits
• Scripts • Belkasoft
Script • Bash • OSFORENSICS
• Windows Script • Autopsy
• Powershell • Deft
Suite • Cmd-batch • CAINE
• …
Privacidad vs Funcionalidad
• Swap (virtual) memory
• Prefetch Menor Mayor
funcionalida funcionalida
• Cache d d

• Hibernación
Datos
• Snapshot Datos

• Shadowcopy Complejida
d
Complejidad

• Etc. Evidencia
Evidencia
Conceptos y herramientas básicas
Data, data, data.
Data, data, data: El sistema de archivos

• Fortuna, A. (2017) How to extract data and timeline from Master File Table on NTFS filesystem.
Tomado de https://www.andreafortuna.org/2017/07/18/how-to-extract-data-and-timeline-from-master-file-table-on-ntfs-filesystem/
• Qwertyus. (2015) Wikimedia CommonsFile table and inode table.svg
Tomado de https://commons.wikimedia.org/wiki/File:File_table_and_inode_table.svg
Data, data, data:
BIN -> HEX -> Legible a humanos

• Atkinson. J. a Master File Table Record poster.

Tomado de https://twitter.com/angealbertini/status/606360441745457152
Data, data, data:
Práctica
Comandos:

• fsutil fsinfo ntfsinfo c:

• dfrgui

• Atkinson. J. a Master File Table Record poster.

Tomado de https://twitter.com/angealbertini/status/606360441745457152
El lenguaje HEX
1 byte = 8 bits = 2 Hex

Pasos:

• Acceder https://hexed.it/ o
abrir Mitec HexEditor
• Abrir un archivo de texto
• Abrir un archivo de imagen
Hash
• Algoritmos

• Práctica
Fuentes de evidencia
Prefetch Practica
• http://www.invoke-ir.com/2013
/09/whats-new-in-prefetch-for-
windows-8.html

• https://gist.github.com/dfirfpi/1
13ff71274a97b489dfd

• Nirsoft/WinPrefetchView.exe
Shadow copy
• vssadmin list shadows /for=c:

• mklink /d
C:\VSC1 \\?\GLOBALROOT\Device\Hardd
iskVolumeShadowCopy1\

• Explorador c:\VSC1

• ShadowExplorer

• Extracción de datos a imagen

Estudio tesis maestría: “Methodology and automated
metadata extraction from multiple volume shadow
copies”
1. ¿Qué implicaciones conlleva escoger una herramienta no adecuada para el
resultado del análisis forense?
2. ¿En un evento de contra peritaje, qué ventaja le puede ofrecer a un analista el
conocimiento de diferentes métodos/herramientas?
3. Realice un ejercicio de exploración de un VSS de su máquina, con cualquier
herramienta que escoja según su mejor criterio.
1. Justifique por qué escogió determinada herramienta.
4. Desde el momento de la publicación de esta tesis, qué elementos más importantes
han cambiado respecto a los métodos/herramientas/OS que conciernen al estudio?
• Fecha de presentación: 21/06/2020
• https://commons.lib.jmu.edu/cgi/viewcontent.cgi?article=1367&context=master201019

van Goethem, Henri Michael, "Methodology and automated metadata extraction from multiple volume shadow copies" (2012).
Masters Theses. 354. https://commons.lib.jmu.edu/master201019/354
Adquisición de evidencias y
Análisis
Creación de imágenes
• FTK Imager

• OSForensics

• dd (Linux)
• dd if=/dev/hdr of=mydisk.dd

• dd for Windows (
http://www.chrysocome.net/dd):
• dd.exe if=\\.\PhysicalDrive0
of=d:\images\PhysicalDrive0.dd

• CoreUtils for Windows o Linux subsistem

Creación de imágenes
• FTK Imager
• Verificación
(hash)
• 4GB -> 5
minutos
DD
• dd --list

• dd
if=\\?\Device\Harddis
kVolume12
of="C:\Análisis
forense\Work\DiskIm
age\DD\usb2.dd"
bs=1M --size
--progress
Adquisición Memoria Volátil
• Belkasoft
• FTK Imager
• Carving process
Fuentes de evidencia (artefactos)
y Análisis
Windows Notifications
• BDD:
• %APPDATA
%\Local\Microsoft\Windows\Notifica
tions\wpndatabase.db
• Imágenes:
• %APPDATA
%\Local\Microsoft\Windows\Notifica
tions\wpnidm\
• WinFileTime
• https://gchq.github.io/CyberChef/#rec
ipe=Windows_Filetime_to_UNIX_Tim
estamp('Seconds%20(s)','Decimal')Fro
m_UNIX_Timestamp('Seconds%20(s)')
&input=MTMyMzcwMTgyNTM0ODA2
OTkz
• Transformar DB to CVS:
 Windows Registry
Hive
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE/SAM
HKEY_LOCAL_MACHINE/SOFTWARE
HKEY_LOCAL_MACHINE/SECURITY
HKEY_LOCAL_MACHINE/SYSTEM
HKEY_USERS
HKEY_CURRENT_CONFIG
Path storage file
%SystemRoot%\Users\NTUSER.DAT
%SystemRoot
%\Windows\System32\config\SAM
%SystemRoot
%\Windows\System32\config\Software
%SystemRoot
%\Windows\System32\config\Security
%SystemRoot
%\Windows\System32\config\System
%SystemRoot
%\Windows\System32\config\Default
%SystemRoot
%\Windows\System32\config\System
HKLM\Software\Clases +
HKCU\Software\Clases
Configuraciones del usuario actual
System Account Manager, almacena todas las
contraseñas del sistema
Configuración de software instalado
Configuración de seguridad de dominio.
Configuración del sistema de todos los
usuarios
Configuraciones que aplican a todos los
uarios
Configuraciones de hardware actual
Windows Registry

Retos Práctica
• Completitud de datos y • En línea (no recomendado):
exactitud • Explorar con Regedit
• Extracción de datos • Fuera de línea:
• Falta de conocimiento • Extraer datos con FTK Imager.
• Explorar los datos (el Hive) con
Registry Browser o RegRipper
Windows Registry
ShellBags
• Windows Explorer almacena las
preferencias de vista del usuario. Por
ejemplo, la disposición visual de los
ítems dentro de una carpeta.
• Registra el acceso del usuario a las
carpetas locales o de red.
• Ejemplo un empleado es sospechoso
de haber eliminado/sustraído,
información confidencial de la
organización.
Tareas programadas
Escritorio Remoto
• Conexiones
• Nombres de usuario
• Certificados
• Capturas de pantalla (64x64)
• %localappdata%\Microsoft\Terminal Server Client\Cache
• https://github.com/ANSSI-FR/bmc-tools
• https://www.youtube.com/watch?v=NnEOk5-Dstw
Otros Artefactos importantes
• Windows OS • Archivos
• Lista de usuarios • Por tipo de archivo
• TimeZone • Por tamaño
• Conexiones USB • Software instalado (Registry)
• Windows Explorer • Programas que se ejecutan al iniciar
• Paths digitados en la barra de
sesión
exploración • AMCache y Shimcache
• Archivos recientes
• Búsquedas recientes
• MUICache (Multilingual User
• Cuadros de Diálogos Interface)
• Red

Otros artefactos: https://github.com/ForensicArtifacts/artifacts

Funciones especiales de análisis
• Vista de relación entre personas
• Extracción de texto de las imágenes
• Extracción georefencial de fotos y otras fuentes
• Línea de tiempo
• Búsqueda de texto y expresiones regulare
Vista en línea de tiempo de todos los eventos
Búsqueda de texto y expresiones regulares
Practica: Scripting
• WMI
• Python
• Powershell
• Local
• Remoto
Evidencia en las BDD Transacciones
• Logs de aplicación
• Logs del motor de BDD
• Logs transaccionales
• SQL SERVER
TRANSACTION LOG
RECOVERY TOOL
• Backups
Presentación del caso de estudio MR. Evil
• Demo
• Descargar los archivos de imágenes
• Realizar el análisis usando una suite de su preferencia (OSForensic,
Belkasoft, Autopsy).
• Resolver las preguntas solicitadas.

• Fecha de presentación: 28/06/2020 23:59.

• Recurso: https://www.cfreds.nist.gov/Hacking_Case.html
 Expresiones regulares
• Demo: https://regexr.com/

Correo electrónico (^[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+$)

Número de cédula (10 dígitos) ^\d{10}$

Dirección url /^(?:(?:https?|ftp):\/\/)(?:\S+(?::\S*)?@)?(?:(?!(?:10|127)

(?:\.\d{1,3}){3})(?!(?:169\.254|192\.168)(?:\.\d{1,3}){2})(?!
172\.(?:1[6-9]|2\d|3[0-1])(?:\.\d{1,3}){2})(?:[1-9]\d?|
1\d\d|2[01]\d|22[0-3])(?:\.(?:1?\d{1,2}|2[0-4]\d|25[0-
5])){2}(?:\.(?:[1-9]\d?|1\d\d|2[0-4]\d|25[0-4]))|(?:(?:[a-
z\u00a1-\uffff0-9]-*)*[a-z\u00a1-\uffff0-9]+)(?:\.(?:[a-
z\u00a1-\uffff0-9]-*)*[a-z\u00a1-\uffff0-9]+)*(?:\.(?:[a-
z\u00a1-\uffff]{2,}))\.?)(?::\d{2,5})?(?:[/?#]\S*)?$/i
http Host Host: [\w.]*
Práctica Python 1/2
• VS Code
• Debug ("justMyCode": false)
• https://www.w3schools.com/python/

• Print
• #This is a comment
• Variables
• Arrays
• For
• If
• Regex
• Try/exept
Protocolo http
• Examinando el protocolo http:
• https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol
Fiddler Demo (Descifrar tráfico)
• http://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp
Práctica netstat (network and statistics)
• netstat
• netstat -na
• https://www.whatismyip.com/ip-whois-lookup/
• netstat –nao
• tasklist | findstr xxxx
• netstat -e
• netstat -s
Herramientas
• Wireshark
• Fiddler
• Git for Windows (solo Windows)
 Model OSI

How the OSI Model Works | Network Direction

Chanel
https://www.youtube.com/watch?v=y9PG-_ZNb
Tomado de https://sites.google.com/site/yutbms/osi-model Wg
Wireshark
tshark en Windows

1. tshark.exe –D
2. tshark.exe -i \Device\NPF_{1B8D77E3-8CBA-4B46-B0C2-462878F98BAB} -w c:\temp\demoRed.pcap
3. tshark.exe -r c:\temp\demoRed.pcap
4. tshark.exe -r c:\temp\demoRed.pcap -q -z hosts
5. tshark.exe -r c:\temp\demoRed.pcap -Y "dns.resp.name contains drupal.org“
6. tshark.exe -r c:\temp\demoRed.pcap -T fields -e http.host | sort /uniq
7. tshark.exe -r c:\temp\demoRed.pcap -Y "http.user_agent != ''" -T fields -e http.user_agent | sort /uniq
8. tshark.exe -r c:\temp\demoRed.pcap -Y "http.request.method == GET" -T fields -e http.host -e http.request.uri
| sort /uniq
9. tshark.exe -r c:\temp\demoRed.pcap -Y "http.request.method == GET" -T fields -e http.host -e http.request.uri
| sort /uniq | more
10. tshark.exe -r c:\temp\demoRed.pcap -Y "tcp.port != 80 && tcp.port != 443 && ip.src==192.168.1.59" -T fields
-e ip.dst | sort /uniq | more
tshark en Linux
Linux style in windows: https://git-scm.com/download/win

./tshark.exe -r /c/temp/demoRed.pcap -Y "tcp.port != 80 &&

tcp.port != 443 && ip.src==192.168.1.59" -T fields -e ip.dst | sort
| uniq -c | sort -nr | Head -40
Práctica Python 2/2
• Microsoft Visual C++ Compiler for Python 2.7
• https://www.microsoft.com/en-us/download/confirmation.aspx?id=44266
• https://www.winpcap.org/devel.htm
• Colocar en la unidad C: la carpeta WpdPack (descomprimir)
• pip install pcapy
• pip install scapy
Network Forensics and
Network Security Monitoring
• https://www.netresec.com/?page=PcapFiles
Forense en el correo electrónico
• Protocolo smtp
• Cifrado de correo electrónico
• Cabeceras de un mensaje
• Práctica métodos smtp en telnet.
Logs en Windows
• Tipos de Logs
• Clasificación de eventos y eventId
• Práctica: Consulta de logs usando Event Viewer.
• Práctica: Consulta de logs por línea de comandos.
Windows Logs

Application %SystemRoot%\System32\Winevt\Logs\Application.evtx

Security %SystemRoot%\System32\Winevt\Logs\Security.evtx

Setup %SystemRoot%\System32\Winevt\Logs\Setup.evtx

System %SystemRoot%\System32\Winevt\Logs\System.evtx
Security Log
• Índice de eventos
• https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
• 4672: Special privileges assigned to new logon
• 4624: An account was successfully logged on
• 4634: An account was logged off
• 4625: An account failed to log on
• 4608: Windows is starting up
•…
• Centralized Log Locations
• %WINDIR%\System32\config or %WINDIR%\System32\winevt\Logs
Contain most of the event logs accessible from the Event Viewer.
• %WINDIR%\Logs
Contains a lot of textual log files.
• Microsoft Security Essentials
• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
Runtime Logs
• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
Installation Logs
• Temporary Installation and Windows Defender Logs
• %WINDIR\Temp\*.log
Contains information about MSI installations as well as for Windows Defender starting
/ scanning.
• %AppData%\Local\Temp\*.log
Contains information about MSI installations ran in the context of the current user.
Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Windows Installation Logs
• %AppData%\Local\Microsoft\Websetup (Windows 8)
Contains details about the web setup phase of Windows 8.
• %AppData%\setupapi.log (Windows XP and earlier)
Contains information about device and driver changes and important system
changes, like installation of service packs and hotfixes.
• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
Contains information about setup actions, errors, structure, SIDs and early setup
devices. When the installation is rolled back, these files will contain rollback
information.
• %WINDIR%\PANTHER\*.log,xml
Contains information about setup actions, errors, structure, SIDs and later setup
devices.
• %WINDIR%\INF\setupapi.dev.log
Contains information about Plug and Play devices and driver installations.
• %WINDIR%\INF\setupapi.app.log
Contains information about the installations of applications.
• %WINDIR%\Performance\Winsat\winsat.log
Contains performance
Tomadotest
de: results.
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Windows Time Service
• To enable logging of the Windows Time Service:
• w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
• To disable logging of the Windows Time Service run:
• w32tm /debug /disable
• Windows Update
• %WINDIR%\WindowsUpdate.log
Contains all events related to Windows Update
• %WINDIR%\SoftwareDistribution\ReportingEvents.log
Contains events related to software update status reports.

Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
• Deployment Image Service and Management Tool (DISM)
• %WINDIR%\Logs\DISM\dism.log
Contains information about events that happen when interacting with the
Windows image.
• Component-Based Servicing (CBS)
• %WINDIR%\Logs\CBS\CBS.log
Contains information about events that happen when interacting with
Windows components and features.

Tomado de:
https://superuser.com/questions/435474/is-there-an-exhaustive-list-of-what-windows-lo
Presentación caso de estudio
MR. Evil
Marco teórico
El Principio de Intercambio de Locard
• http://www.reydes.com/d/?q=Principio_de_Intercambio_de_Locard
• https://www.estudiocriminal.eu/blog/el-principio-de-intercambio-de-
locard/
• http://www.forensichandbook.com/locards-exchange-principle/
Análisis Forense Digital

Análisis Forense Digital Evidencia digital

• Es un conjunto de • Conjunto de datos en formato
• principios y técnicas binario, esto es, comprende los
• Comprende el proceso de ficheros, su contenido o referencias
• Adquisición a éstos (metadatos) que se
• Conservación encuentren en los soportes físicos o
• Documentación lógicos del sistema atacado.
• Análisis
• Presentación de evidencias digitales Guidelines for Evidence Collection and Archivin
g rfc3227
• Llegado el caso puedan ser aceptadas
legalmente en un proceso judicial.

López. M. (2007) Análisis Forense Digital.

 ISO 17799:2005 Information technology — Security techniques
— Code of practice for information security management

• Establece pautas y principios generales • Política de seguridad.

para iniciar, implementar, mantener y
mejorar la gestión de la seguridad de la
información en una organización. Los
objetivos descritos proporcionan una
guía general sobre los objetivos
comúnmente aceptados de la gestión de
seguridad de la información.
• Contiene las mejores prácticas de
objetivos de control y controles en las
siguientes áreas de gestión de seguridad
de la información:
• Tomado de: https://www.iso.org/standard/39612.html
• https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
• Organización de la seguridad de la información.
• Gestión de activos.
• Seguridad de recursos humanos.
• Seguridad física y ambiental.
• Gestión de comunicaciones y operaciones.
• Control de acceso.
• Adquisición, desarrollo y mantenimiento de sistemas
de información.
• Gestión de incidentes de seguridad de la información.
• Gestión de la continuidad del negocio.
• Conformidad.
Incidente de seguridad
• Denegación de servicio
• Incidentes de código malicioso
• Incidentes de acceso no
autorizado
• Incidentes por uso inapropiado
(Violación de políticas).
• Incidente múltiple
Prevención de ataques a sistemas
• Gestión de parches y actualizaciones
de hardware y software.
• Privilegio mínimo.
• Red configurada con un filtro
perimetral en modo “paranoico”
• Puertos, IDS, VPN, IPSec, SSL.
• Antivirus
• Política de seguridad a empleados ($
$$)
López. M. (2007) Análisis Forense Digital.
Plan de Respuesta ante Incidentes
• Alcance, propósitos y objetivos.
• Estructura organizativa del equipo de respuesta a incidentes, responsabilidades, autoridad, departamentos
implicados.
• Actuaciones para la contención del problema.
• Procedimientos de recuperación y restauración de sistemas SIN eliminación de posibles evidencias del
ataque.
• Índices para la valoración de los daños, tanto desde el punto de vista económico como de imagen
corporativa.
• Determinar en qué casos se tratará el incidente internamente y en qué casos se dará aviso a las
autoridades.
• Sopesar la contratación de personal externo para llevar a cabo la investigación.
• Establecer las fases de la investigación.
• Elaboración de informes y formularios tipo para comunicación del incidente tanto dentro como fuera de la
organización si fuese necesario.

López. M. (2007) Análisis Forense Digital.

 • CÓDIGO ORGÁNICO INTEGRAL PENAL
Aspectos legales • Artículo 229: Revelación ilegal de base
de datos.
• Ataque interno • •Ataques
Artículoque se Interceptación
230: producen contrailegal
el de
• Investigación interna. derecho
datos. a la intimidad.
• Acciones disciplinarias. • •Infracciones a laTransferencia
Artículo 231: Propiedad Intelectual a
electrónica
• Colaboración con departamento de Gestión través de la patrimonial.
de activo protección de los derechos
Humana y Sección Sindical.
•deArtículo
autor. 232: Ataque a la integridad de
• Ataque con daños importantes • Falsedades.
sistemas informáticos.
• Abrir un proceso judicial contra los atacantes.
• Investigación pericial técnica.
• •Sabotajes
Artículo informáticos.
233: Delitos contra la
información
• Fraudes pública reservada
informáticos.
legalmente.
• Amenazas.
• Artículo 234: Acceso no consentido a un
• Calumnias e injurias.
sistema informático, telemático o de
• Pornografía infantil.
telecomunicaciones.
• LIBRO BLANCO DE TERRITORIOS DIGITALES
EN ECUADOR
AFD Orientado a un incidente de seguridad

Documentación
Identificación Recopilación de Preservación de Análisis de la y presentación
del incidente evidencias la evidencia evidencia de los
resultados

Identificación del incidente
Consideraciones
• Conservar la calma.
• Cautela para conservar
evidencias (Conocimiento de
las herramientas).
• Los atacantes dispondrán de
herramientas capaces de
modificar la información que
el administrador verá tras la
ejecución de ciertos
comandos.
• Tener listo un DVD con un
conjunto de herramientas y
scripts.
López. M. (2007) Análisis Forense Digital.
Identificación
del incidente
Toolkit
• Intérprete comandos en modo consola (cmd, bash)
• Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport,
lsoft)
• Listar usuarios conectados local y remotamente al sistema
• Obtener fecha y hora del sistema (date, time)
• Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones
que los lanzaron (ps, pslist)
• Enumerar las direcciones IP del sistema y mapear la asignación de
direcciones físicas
• MAC con dichas IP (ipconfig, arp, netstat, net)
• Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
• Visualizar registros y logs del sistema (reg, dumpel)
• Visualizar la configuración de seguridad del sistema (auditpol)
• Generar funciones hash de ficheros (sah1sum, md5sum)
• Leer, copiar y escribir a través de la red (netcat, crypcat)
• Realizar copias bit-a-bit de discos duros y particiones (dd, safeback)
• Analizar el tráfico de red (tcpdump, windump)
 Recopilación de
evidencias

Recopilación de evidencias

Disponibilidad vs investigación Investigación, Consideraciones

• A.- Tener nuevamente operativos
sus sistemas rápidamente.
• B.- Realizar una investigación
forense detallada.
• ¿qué?, ¿cómo?, ¿quién?, ¿de
dónde? y ¿cuándo? se
comprometió el sistema.
• Impidiendo llevar a cabo acciones
legales posteriores.
• Tomar apuntes de detallados de
todas las operaciones que se
realiza.
• Lugar, Fecha y hora de las tareas.
• Fotografías
• Números de serie
• Testigo, Notario.
• Recolección sobre sistema “vivo”
o “muerto”.
López. M. (2007) Análisis Forense Digital.
 Recopilación de
evidencias

Obtención de evidencia/Indicio
• Script
Sistema “vivo” • Fecha y hora.
• Proceso de apagado (limpieza). • Procesos activos.
• Conexiones de red.
• Atacante online. • Puertos TCP/UDP abiertos y aplicaciones
• Acción evasiva o destrucción de asociadas “a la escucha”.
evidencia/datos en general • Usuarios conectados remota y
(desconexión). localmente.
• Imagen RAM
• Orden de volatilidad (RFC 3227).
• Almacenamiento de evidencia (USB,
netcat).
• Comprobación de integridad (Hash).

López. M. (2007) Análisis Forense Digital.

 Preservación de

Preservación de la evidencia la evidencia

• Precautelar la validez del proceso.

• Estar listos para un proceso judicial: Cadena de custodia.
• Generación de copias (2 al menos).
• Hash de verificación.
• Etiquetado de evidencias
• Nombre de la evidencia.
• Número hash.
• Modelo, marca, número de serie.
• Fotografías, video.
• Almacenamiento y traspaso
• Nombre de evidencia
• Fecha y hora
• Lugar
• Personal (nombres, ID, cargo, organización a la que pertenece)
• Empaquetado (estática, humedad, golpes)
• Póliza de seguro si lo amerita.
• Manual de Cadena de Custodia, Escuela de estado mayor de la
Policía Nacional del Ecuador
https://www.eempn.gob.ec/documentos_2017/MANUAL-DE-CADE
NA-DE-CUSTODIA-2014-29-05-2014.pdf
 Análisis de la
evidencia

Análisis de la evidencia
• Descubrir • Reconstruir la línea de tiempo
• ¿Cómo se produjo el ataque? • Justo antes del incidente.
• ¿Quién o quienes lo llevaron a • Momento de detección.
cabo?
• ¿Bajo qué circunstancias se
produjo?
• ¿Cuál era el objetivo del ataque?
• ¿Qué daños causaron?

López. M. (2007) Análisis Forense Digital.

 Análisis de la
evidencia

El entorno de trabajo
• Trabajar sobre copias, no originales.
• Estación de trabajo principal
• Disco duro anfitrión.
• Disco duro con imagen montada en solo lectura.
• Estación réplica de trabajo (OS, HD, MEM, etc.) “conejillo de indias”.
• Trabajo en ambientes virtuales.

López. M. (2007) Análisis Forense Digital.

 Análisis de la
evidencia

File system y Logs

Identificar línea de tiempo de archivos Indicios, comportamientos anómalos

• Metadata (Inodos asociados). • Fecha de modificación de los
• Marcas de tiempo MAC. archivos.
• Ruta completa. • Archivos ocultos.
• Tamaño en bytes y tipo de fichero. • Archivos borrados.
• Usuarios y grupos a quien pertenece. • Fecha de instalación de
• Permisos de acceso. programas
• Si fue borrado o no. • Logs de OS / BDD
• Hash • Registro de creación de usuarios.
López. M. (2007) Análisis Forense Digital.
 Análisis de la

Determinación de cómo se realizó el

evidencia

ataque
• Vector de ataque • Una premisa del AD es que los
• Clasificación y tipo activo, pasivo. hechos han de ser reproducibles
• Utilice evidencia volátil y sus resultados verificables.
recolectada. • Use su maquina réplica.

• Búsqueda de vulnerabilidades
(Google).
• Búsqueda de exploits.

López. M. (2007) Análisis Forense Digital.

 Análisis de la

Identificación del autor o autores del

evidencia

incidente
• Conexiones abiertas.
• Dirección IP atacante.
• Análisis de archivos del atacante.
• Memoria virtual.
• Archivos temporales.
• Restos de email.
• Conexiones fallidas.
• IpWhoisLookup
• (tomar en cuenta escenarios de
spoofing).
• Técnicas hacker.
• Network Mapper (Nmap)
• Búsqueda en foros y chats.

López. M. (2007) Análisis Forense Digital.

 Análisis de la

Evaluación del impacto causado al

evidencia

sistema
• Ataques pasivos (fisgonear)
• Ataques activos (alteración de información, DoS)
• Impacto económico.
• Impacto de imagen.
• Sanciones estipuladas en las leyes.
• Póliza vigente con aseguradora.

López. M. (2007) Análisis Forense Digital.

 Documentación
y presentación
de los
resultados

Documentación del incidente

• Documentar y fechar todo el proceso.
• Utilización de formularios de registro del incidente
• Documento de custodia de la evidencia.
• Formulario de identificación del equipos y componentes.
• Formulario de incidencias tipificadas.
• Formulario de publicación del incidente.
• Formulario de recogida de evidencias.
• Formulario de discos duros.

López. M. (2007) Análisis Forense Digital.

 Documentación
y presentación
de los
resultados

Informe Ejecutivo
• Entre 3 y 5 páginas.
• Contenido
• Motivos de la intrusión.
• Desarrollo de la intrusión.
• Resultados del análisis.
• Recomendaciones.

López. M. (2007) Análisis Forense Digital.

 Documentación
y presentación
de los
resultados

Informe Técnico
1. Antecedentes del incidente. 1. Metodología.

2. Recolección de los datos. 1. Descripción de los hallazgos.

1. Huellas de la intrusión.
3. Descripción de la evidencia. 2. Herramientas usadas por el
4. Entorno del análisis . atacante.
1. Descripción de las herramientas. 3. Alcance de la intrusión.
4. El origen del ataque
5. Análisis de la evidencia .
1. Información del sistema analizado . 2. Cronología de la intrusión.
1. Características del SO. 3. Conclusiones.
2. Aplicaciones.
3. Servicios. 4. Recomendaciones específicas.
4. Vulnerabilidades. 5. Referencias.

• http://www.adfmedia.org/files/CoalfireCMPvideosReport.pdf
López. M. (2007) Análisis Forense Digital.
Revisión Caso Plataforma