| |
|
|
| |
- Seguridad Informática - Análisis forense - Preservación de datos volátiles -
Al ser llamado a un sistema que presumiblemente haya sido atacado, lo primero es, en el menor tiempo posible, salvar la mayor cantidad de datos que se pueda, sin modificar nada, o modificando lo menos posible.
Se trata de datos, los cuales al bajar el sistema (Shutdown) o desconectarlo, se pierden.
Al recolectar estos datos debe tenerse en cuenta no utilizar comandos del sistema. Por una parte, estos comandos pueden ser programas troyanizados, los cuales encubren informaciones o activan funciones dañinas. La utilización de comandos locales modificaría la marca de tiempo de la última llamada. Por esta razón debe trabajarse con archivos propios seguros.
Los datos a salvar son los siguientes:
- Fecha y hora del sistema
Para poder organizar los comandos ejecutados respecto al punto de partida de la investigación, debe determinarse la fecha y hora del sistema. A partir de este momento, todas las acciones que se ejecuten, pueden ser asociadas a la investigación.
- Lista de los procesos activos
Junto con el listado de los procesos activos, deben reunirse otras informaciones como variables de entorno, parámetros de entrega, las bibliotecas cargadas, entre otros.
- Lista de los sockets abiertos
- Lista de las aplicaciones que utilizan dichos sockets
- Lista de los usuarios activos
- Lista de los sistema con los que tienen una conexión de red o tuvieron una conexión hace poco
Una vez asegurados estos datos pueden buscarse otros rastros, como son
- Timestamps del sistema comprometido
- programas del sistema troyanizados
- archivos y carpetas ocultas
- sockets y archivos sospechosos
- procesos sospechosos
Contenidos del cache
El contenido de los archivos cache y de paginación son de interés para el análisis de los programas activos y los comandos ejecutados. Así como se tenga acceso a un sistema activo y sea posible, debe asegurarse.
Contenido de de la memoria principal
El contenido de la memoria principal debe ser asegurada en el contexto de los procesos activos. Para una valoración simple, el contenido de la memoria principal debe ser salvada separadamente por los espacios correspondiente a cada proceso ID.
Estado de las conexiones de red
Información sobre posibles programas utilizados como "puertas traseras" activos pueden encontrarse en el listado de los puertos de red abiertos. Además, es posible reconocer si las conexiones se encuentran en fase de establecimiento o finalizado. De encontrarse, por ejemplo, muchos procesos de establecimiento de conexión, puede inferirse que el sistema sufre un ataque de tipo "Distributed Denial of Service" o un escaneo de puertos. Algunos sistemas operativos llevan estadísticas sobre los intentos de establecimiento de conexiones exitosas y/o fallidas. Resulta interesante conocer que aplicación o servicio abrió el puerto.
Análisis forense en Windows
Salvar datos volátiles
La situación del sistema comprometido es de interés para la investigación forense, entre otros debe buscarse información sobre los procesos activos, el estado de las conexiones de red, el usuario activo registrado, así como los archivos que están siendo utilizados. Todas estas informaciones se perderían de reiniciar el sistema y en el disco no quedaría rastro alguno.
Para salvar los datos volátiles, deben ejecutarse un grupo de comandos de Windows, después de lo cual, debe determinarse la fecha y hora del sistema, compararse con una referencia de confianza y documentarse para posteriores análisis.
| Comando |
Acción |
| hostname |
Muestra el nombre del sistema |
| psinfo |
Muestra las informaciones fundamentales de un sistema Windows |
| net accounts |
Muestra los lineamientos para claves |
| net file |
Muestra los archivos abiertos desde la red |
| net sessions |
Muestra la sesión de red activa |
| net share |
Muestra los recursos compartidos sobre la red |
| net start |
Muestra los servicios activos |
| net use |
Muestra los recursos conectados desde la red |
| net user |
Muestra el usuario local |
| net view |
Muestra informaciones sobre la sesión NBT existente |
| arp –a |
Muestra la Tabla Arp |
| netstat –an |
Muestra los puertos de red abiertos |
| netstat –n |
Muestra todas las conexiones de red |
| netstat –r |
Muestra las informaciones del ruteador |
| psloggedon |
Muestra las sesiones de registro activas |
| listdlls |
Muestra los DLLs abiertos por un proceso |
| sport /p |
Muestra los programas que mantienen abierto un puerto |
| pslist –x |
Muestra detalladamente el estado de los procesos y su espacio de memoria |
| nbtstat –c |
Muestra el contenido del NBT Remote Cache |
| rausers |
Mustra los usuarios que en el sistema, tienen derechos RAS (NTRK -Net Tools Resource Kit) |
Aquí pueden incluirse otras herramientas, pero debe tenerse en cuenta, si estas informaciones preferiblemente, se pueden obtener de una imagen del sistema de archivo, ya que destruirían el MAC.Time del sistema.
| Comando |
Acción |
| dir /s /a:h /t:a c: |
Muestra los archivos ocultos |
| sfind c: |
Muestra los ADS (Alternate Data Streams) |
| cipher.exe |
Busca los archivos EFS (Encrypting File System) |
 |
|
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
|
|
|
|
