David Bohm

Hay dos frases que definen mi manera de pensar:
Realmente no hemos prestado mucha atención al pensamiento como un proceso; hemos participado en pensamientos, pero sólo hemos prestado atención al contenido, no al proceso.
La capacidad de percibir o pensar de manera diferente es más importante que el conocimiento adquirido.
Ambas son de David Bohm.

lunes, 19 de febrero de 2018

Herramientas de análisis forense

(Un pequeño artículo que tuve que realizar para un módulo de ASIR)

Forensic Toolkit v2.0

Este kit de herramientas forenses contiene varias herramientas de línea de comandos Win32 que ayudan a examinar los archivos de una partición de disco NTFS en busca de actividades no autorizada. Esta herramienta es un analizador de propiedades de archivos. Realiza numerosas funciones:
  • Examinar los archivos en una unidad de disco para ver si hay actividad no autorizada
  • Enumera los archivos por su último tiempo de acceso 
  • Busca tiempos de acceso entre ciertos marcos de tiempo 
  • Escanea el disco en busca de archivos ocultos y flujos de datos 
  • Voltear los atributos de seguridad y archivo 
  • Informar sobre los archivos auditados 
  • Descubrir las ACL alteradas 
  • Comprobar si un servidor revela demasiada información a través de las sesiones NULL.
En cuanto a las características principales

Afind: enumera los archivos por su último tiempo de acceso sin alterar los datos, que es lo que pasaría al hacer clic con el botón derecho del ratón en las propiedades de los archivos en el Explorador. Permite buscar tiempos de acceso entre ciertos marcos temporales, coordinando esto con la información de inicio de sesión proporcionada por ntlast, puede empezar a determinar la actividad del usuario incluso si el registro de archivos no ha sido activado.

Hfind: analiza el disco en busca de archivos ocultos. Busca archivos que tienen el conjunto de atributos ocultos o que han sido ocultados usando la combinación de atributos de carpetas. Este es el método que utiliza Internet Explorer para ocultar datos. Además enumera los últimos tiempos de acceso.

Sfind: escanea el disco en busca de flujos de datos ocultos y enumera los últimos tiempos de acceso.

FileStat: realiza un volcado rápido de todos los atributos de seguridad y archivos. Funciona en un solo archivo a la vez, pero esto suele ser suficiente.

Hunt: es una forma rápida de ver si un servidor revela demasiada información a través de las sesiones NULL.
















Veamos algunos modificadores en la línea de comandos que se ofrecen el la página web a modo de ayuda:

   afind[dir] /f[nombre de archivo] /ns=no subs /a después de /b antes de /m entre formato de hora =

   hfind[dir] /hd=find dir/system attribs /ns=no subdirectorios

   sfind[dir] /ns=no subdirectorios

   filestat [nombre de archivo]

   Hunt [servername]

En cuanto a los requisitos mínimos del sistema para utilizar este kit:
  • Windows NT 4.0 SP3 
  • Memoria de 16MB 
  • Privilegios de administrador 
  • Registro de auditoría habilitado con registros buscables 
  • Configurar el búfer de línea de comandos NT a 500 o más líneas. 1200 o más líneas funcionan bien.
Links consultados:

https://www.mcafee.com/mx/downloads/free-tools/forensic-toolkit.aspx

http://www.gurudelainformatica.es/2008/05/anlisis-forense-de-accesos-no.html

https://www.giac.org/paper/gcwn/65/forensic-toolkit-v20-windows-nt-40-server/100831

https://www.scmagazine.com/forensic-toolkit-20/product/5780/


The Sleuth Kit and Autopsy

El Kit Sleuth es un paquete de código abierto gratuito que proporciona un gran número de utilidades especializadas basadas en la línea de comandos. The Sleuth Kit, llamado TSK, es una colección de herramientas y una biblioteca C permite analizar datos de volumen y sistema de archivos, analizar imágenes de disco y recuperar archivos de ellas. La estructura de plug-in le permite incorporar módulos adicionales para analizar el contenido de los archivos y construir sistemas automatizados. La biblioteca se puede incorporar en herramientas forenses digitales más grandes y las herramientas de línea de comandos se pueden utilizar directamente para encontrar evidencias. Se puede utilizar bajo Autopsy y muchas otras herramientas de código abierto y herramientas forenses comerciales.

Estas herramientas son utilizadas por muchos usuarios de todo el mundo y por lo tanto tiene el soporte y apoyo de una comunidad muy grande.

TSK es capaz de analizar multitud de los sistemas de archivos como por ejemplo NTFS, FAT/ExFAT, Ext2, Ext3, Ext3, Ext4, HFS o ISO 9660 por separado o dentro de las imágenes de disco almacenadas en los formatos raw (dd), Expert Witness o AFF.

Se puede utilizar también en sistemas operativos como Microsoft Windows, la mayoría de Apple Macintosh OSX, multiples Linux y algunos UNIX.

Algunas de las herramientas incluidas en TSK:
  • ils: lista todas las entradas de metadatos, como un Inodo. 
  • Blkls: muestra bloques de datos dentro de un sistema de ficheros 
  • fls: lista los nombres de archivos asignados y no asignados dentro de un sistema de archivos. 
  • Fsstat: muestra información estadística del sistema de archivos sobre una imagen o medio de almacenamiento. 
  • ffind busca nombres de archivo que apunten a una entrada de metadatos especificada. 
  • mactime crea una línea de tiempo de todos los archivos basada en sus tiempos MAC. 
  • disk_stat (actualmente sólo en Linux) descubre la existencia de un area protegida de un Host.
Autopsy Es un programa con interfaz gráfica que permite analizar discos duros y Smartphones mediante el despliegue de muchos de los programas y plugins de código abierto en TSK. Tiene una arquitectura de plug-in que le permite encontrar módulos adicionales o desarrollar módulos personalizados en Java o Python.

La herramienta es mantenida en gran parte por Basis Technology Corp. con la ayuda de programadores de la comunidad. La compañía vende servicios de soporte y capacitación para el uso del producto.

















La herramienta está diseñada de tal forma que se mantenga:


  • Extensible: el usuario debería ser capaz de añadir nuevas funciones creando plugins que puedan analizar toda o parte de la fuente de datos subyacente. 
    • Análisis de la línea de tiempo - Interfaz gráfica avanzada para la visualización de eventos. 
    • Filtrado de Hash - Marcar archivos malos conocidos e ignorar archivos buenos conocidos. 
    • Búsqueda de palabras clave - Búsqueda de palabras clave indexadas para encontrar archivos que mencionen términos relevantes. 
    • Web Artifacts - Extrae la historia, favoritos y cookies de Firefox, Chrome e Internet Explorer. 
    • Grabación de datos - Recupera archivos borrados del espacio no asignado usando PhotoRec 
    • Multimedia - Extrae EXIF de fotos y mira videos. 
    • Indicadores de Compromiso - Escanea un ordenador usando STIX. 
  • Marcos de trabajo (Framework): la herramienta ofrecerá algunos enfoques estándar para datos, el análisis y la presentación de informes de cualquier hallazgo para que los desarrolladores puedan seguir los mismos patrones de diseño cuando sea posible. 
  • Facilidad de uso: el Navegador debe ofrecer los asistentes y herramientas históricas para facilitar a los usuarios la repetición de sus pasos sin necesidad de una reconfiguración excesiva.
















Además el navegador principal se puede ampliar añadiendo módulos que ayudan a escanear los archivos, examinar o resumir los resultados. Una colección de módulos de código abierto permite todas estas personalizaciones.

En cuanto La versión 2 de Autopsy está escrita en Perl y se ejecuta en todas las plataformas principales incluyendo Linux, Unix, MacOS y Windows. Se basa en TSK para analizar el disco. La versión 2 se publica bajo la GNU GPL 2.0

Sin embargo, la versión 3.0 se escribe en Java utilizando la plataforma NetBeans. Se ejecuta sólo en Windows en este momento y se libera bajo la licencia 2.0 de Apache













Parece que de momento la versión 4 continua el mismo camino solo está disponible para plataforma Windows. Tal y como indican en su página web de descarga se puede ejecutar Autopsy 4 en Linux y OS X, pero debe construirse desde el código fuente.

  • A continuación la lista de características obtenidas de su página web: 
  • Casos multiusuario: Colabore con otros examinadores en casos grandes. 
  • Análisis de la línea de tiempo: Muestra los eventos del sistema en una interfaz gráfica para ayudar a identificar la actividad. 
  • Búsqueda de palabras clave: la extracción de texto y los módulos de búsqueda de índice le permiten encontrar archivos que mencionan términos específicos y encontrar patrones de expresión regulares. 
  • Web Artifacts: Extrae la actividad web de los navegadores comunes para ayudar a identificar la actividad del usuario. 
  • Análisis del Registro: Utiliza RegRipper para identificar documentos y dispositivos USB recientemente accedidos. 
  • Análisis de archivos LNK: Identifica atajos y documentos a los que se accede 
  • Análisis de correo electrónico: Analiza mensajes en formato MBOX, como Thunderbird. 
  • EXIF: Extrae información sobre la ubicación geográfica y la cámara de archivos JPEG. 
  • Clasificación de tipo de archivo: Agrupa los archivos por su tipo para encontrar todas las imágenes o documentos. 
  • Reproducción multimedia: Visualiza vídeos e imágenes en la aplicación y no requiere un visor externo. 
  • Visor de imágenes en miniatura: Muestra las imágenes en miniatura para facilitar la visualización rápida de las imágenes. 
  • Análisis robusto del sistema de archivos: Soporte para sistemas de archivos comunes, incluyendo NTFS, FAT12/FAT16/FAT32/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2 y UFS de The Sleuth Kit. 
  • Filtrado de Hash Set: filtre los archivos buenos conocidos usando NSRL y marque los archivos malos conocidos usando hashsets personalizados en formatos HashKeeper, md5sum y EnCase. 
  • Etiquetas: Etiqueta de archivos con nombres de etiqueta arbitrarios, como "bookmark" o "sospechosos", y añadir comentarios. 
  • Extracción de cadenas Unicode: Extrae cadenas de texto del espacio no asignado y tipos de archivo desconocidos en muchos idiomas (árabe, chino, japonés, etc.). 
  • Detección del tipo de archivo basada en la detección de firmas y de desajustes de extensión. 
  • El Módulo de Archivos Interesantes marcará los archivos y carpetas según el nombre y la ruta. 
  • Soporte para Android: Extrae datos de SMS, registros de llamadas, contactos, Tango, Palabras con amigos y mucho más.
Como se puede ver TSK es una aplicación completa, ampliable y utilizable con diferentes suites de análisis forense. Una de esas herramientas que va a facilitar su uso, modular y con múltiples funciones de cara al usuario en cuanto escenarios o informes es Autopsy. Disponible para Windows y algo mas complicado para instalar en Linux o MacOS porque hay que compilar desde el código fuente.

Links consultados:

https://www.sleuthkit.org/

https://www.sleuthkit.org/autopsy/

https://en.wikipedia.org/wiki/The_Sleuth_Kit

https://www.basistech.com/

SaluDOS.

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)