#CyberCamp19

Análisis forense
en Windows
Yolanda Olmedo Rodríguez
Security Engineer - DFIR

[email protected]

@yolrod

https://www.linkedin.com/in/yolandaolmedorodriguez/
¿Quién
soy?
2
Índice
1. Introducción
2. Fases análisis forense
3. Análisis en Windows
4. Informes
Cybercrimen
Fraude
Espionaje industrial
Fitbit
ayuda a
resolver un
asesinato
 Amazon Alexa
también ayuda a
resolver un
asesinato
DFIR: Digital Forensic Incident Response
Introducción
Cadena de custodia
 Introducción

• Objetivos

• ¿Qué hechos han ocurrido?

• ¿Quién ha realizado los hechos?
• ¿Cómo se han realizado?
• ¿Cuándo se han realizado?
 Introducción
Acotar la investigación a un rango temporal

Definir el alcance de Reconstruir la

la investigación línea temporal
 Buenas prácticas

Copias de seguridad: clonado + copia (+copia)

If paranoic==ON then
 Buenas prácticas

Utilizad
herramientas
ligeras
 Buenas prácticas

Si infectado con malware  no analizar el equipo con

antimalware!
 Buenas prácticas

No subir muestras a VT, Hybrid analysis, anyrun…

 Buenas prácticas

Adquiere tantas evidencias

como sea posible
 Buenas prácticas

Documentación de TODO lo que se haga

Distribuciones Linux forense
 Fases del análisis

Identificación
Y Preservar Análisis Informe
adquisición
 Fases del análisis

Identificación
Y Preservar Análisis Informe
adquisición
Identificación
 Adquisición
• Fotografiar la escena Más Volátil

• Elementos volátiles
• Conexiones de red, procesos…
• Adquisición memoria RAM

• Adquisición Disco duro

• DESCONECTAR EL CABLE y clonar

• Pen drives, CDs, DVDs, logs.. Menos Volátil

 Adquisición evidencias volátiles

• Fecha
• date /t > FechaYHoraDeInicio.txt &time /t >> "FechaYHoraDeInicio.txt"
• Conexiones de red / información de red
• netstat -an | findstr /i "estado listening established" > "PuertosAbiertos.txt"
• netstat -anob > "AplicacionesConPuertosAbiertos.txt"
• ipconfig /all > "EstadoDeLaRed.txt"
• nbtstat -S > "ConexionesNetBIOSEstablecidas.txt"
• net sessions > "SesionesRemotasEstablecidas.txt"
• ipconfig /displaydns > "DNSCache.txt"
• arp -a > "ArpCache.txt"
 Adquisición evidencias volátiles

• Procesos
• tasklist > “ProcesosEnEjecución.txt”
• pslist -t > “Procesos.txt”
• listdlls > “dlls.txt”
• handle -a > “Handles.txt”
• Servicios
• sc query > “ServiciosEnEjecución.txt”
• Tareas programadas
• schtasks > “TareasProgramadas.txt”
 Adquisición evidencias volátiles

• Usuarios
• netUsers.exe > "UsuariosActualmenteLogueados.txt"
• netUsers.exe /History > "HistoricoUsuariosLogueados.txt"
• Portapapeles
• InsideClipboard /saveclp > "Portapapeles.clp"
• Histórico de comandos (cmd)
• doskey /history > "HistoricoCMD.txt"
• Unidades mapeadas
• net use > "UnidadesMapeadas.txt"
• Carpetas compartidas
• net share > "CarpetasCompartidas.txt"
 Adquisición de evidencias

Adquisición memoria RAM

 Adquisición de evidencias

• Análisis en vivo
• Malware oculto a aplicaciones del sistema
• Utilizar herramientas de terceros
• Tools
• Nirsoft nirlauncher
• Sysinternals suite
 Adquisición de evidencias – Triage

• Adquisición evidencias volátiles y No volátiles

• Enfocado para Incident response
 Adquisición de evidencias – No volátiles

• Adquisición en frío (post mortem)

• Copia bit a bit de todo el disco

• Herramientas de clonado
• Hardware : Clonadora
• Software: distribuciones Linux (Live CD / USB)
 Adquisición de evidencias – No volátiles
• Clonado de disco mediante Hardware
 Adquisición de evidencias – No volátiles
Clonado de disco mediante Software con bloqueador de
escritura
 Adquisición de evidencias – No volátiles

• Clonado de discos mediante software con Live CD

• Iniciar Live CD
• Montar origen como sólo lectura sólo si es necesario
• Clonar con dd / dcfldd
• Destino disco externo (USB 3.0)

• dcfldd if=/dev/xx of=/media/disco_dst/imagen.dd hash=sha1

hashlog=/media/disco_dst/imagen.log
 Fases del análisis

Identificación
Y Preservar Análisis Informe
adquisición
Preservación de evidencias

Cálculo de hashes
 Fases del análisis

Identificación
Y Preservar Análisis Informe
adquisición
 Análisis memoria RAM

• Caso práctico

• El director de una compañía nos

informa que ha abierto un
documento y el ordenador ha
hecho “cosas raras”

• Definir Cómo ha ocurrido, cuando,

y alcance del incidente
 Análisis memoria RAM

• Conexiones activas (TCP, UDP, Puertos…)

• Ficheros (dlls, ejecutables, documentos abiertos…)
• Direcciones web, emails, contraseñas
• Comandos escritos por consola
• Contraseñas del sistema
• Elementos ocultos: rootkits
• [...]
 Análisis memoria RAM
• Hiberfil.sys
• Contiene imagen raw comprimida
• Analizar con volatility

• Pagefile.sys (swapping)
• Buscar palabras clave
• Strings pagefile.sys >> strings_pagefile.txt
• Grep “cadena” strings_pagefile.txt
• En Win10: Swapfile.sys
 Análisis memoria RAM
Vol.py –f memoria.raw --profile=Win7SP1x64 pslist
 Análisis memoria RAM
Vol.py –f memoria.raw --profile=Win7SP1x64 netscan
 Análisis memoria RAM

$ vol.py -f memory.raw --profile=Win7SP1x64 memdump -p 2072

--dump-dir=.
 Análisis memoria RAM
Búsqueda del hash en VT
 Análisis memoria RAM
$ strings 2072.dmp > strings_2072.txt
 Análisis memoria RAM
Extracción de los
hives del registro
 Análisis en Windows - NTFS
• Sistema ficheros desde Windows NT
• Unidades de almacenamiento hasta 246 GB
• Compresión
• Permite aplicar permisos
• Quotas de disco
• Journaling para recuperación de ficheros
• ADS
 Análisis en Windows – NTFS
System file Filename MFT Record Purpose of the File

Master file $Mft 0 Contains one base file record for each file and folder on an NTFS volume
table

Master file $MftMirr 1 Guarantees access to the MFT in case of a single-sector failure. It is a duplicate image
table mirror of the first four records of the MFT.

Log file $LogFile 2 The log file is used by to restore metadata consistency to NTFS after a system failure

Volume $Volume 3 Contains information about the volume, such as the volume label and the volume
version.
Attribute $AttrDef 4 Lists attribute names, numbers, and descriptions.
definitions
Root File name . 5 The root folder.
index
 Análisis en Windows – NTFS
System file Filename MFT Record Purpose of the File
Cluster bitmap $Bitmap 6 Represents the volume by showing free and unused clusters.

Boot Sector $Boot 7 Includes the BPB used to mount the volume and additional bootstrap loader code
used if the volume is bootable.
Bad cluster file $BadClus 8 Contains bad clusters for a volume.

Security file $Secure 9 Contains unique security descriptors for all files within a volume.
Upcase table $Upcase 10 Converts lowercase characters to matching Unicode uppercase characters.
NTFS extension $Extend 11 Used for various optional extensions such as quotas, reparse point data, and object
file identifiers.
12-15 Reserved for future use
 Análisis en Windows – NTFS
MFT
 Análisis en Windows – NTFS
MFT
 Análisis en Windows – NTFS
MFT2CSV
 Análisis en Windows – NTFS
MFT

Fecha de creación del fichero vfgggg.exe en la MFT

2018-04-07 08:44:02
 Análisis en Windows – NTFS
Buscamos en la MFT en dicha fecha
 Análisis en Windows - Prefetch

• Característica para mejorar el arranque de las aplicaciones

• Sólo existen en Windows cliente

• En Windows Server hay que habilitarlo
• En disco SSD hay que habilitarlo

• Se crean en %WINDIR%\Prefetch

• Archivo .pf se crea la primera vez que se ejecuta la

aplicación  Se creará una entrada en la MFT!!

• Puede ser eliminado automáticamente 

 Análisis en Windows - Prefetch

• Windows 7
• Hasta 128 archivos
• Sólo guarda la última ejecución 

• Windows 8 y posteriores
• Hasta 256 archivos
• Histórico de 8 ejecuciones 

• Tools
o WinPrefetchView (Nirsoft)
o PECmd
 Análisis en Windows – Prefetch
• Prefetch

¡¡No tenemos!!  Disco SSD

 Análisis en Windows – NTFS
WinPrefetchView
 Análisis en Windows - Registro
• BD jerárquica
• Configuración de Sistema Operativo, aplicaciones y
usuarios
• Perfiles cada usuario
• Aplicaciones instaladas
• Información conexiones de red
• Configuración de carpetas
• Iconos
• Elementos hardware
• Histórico de USB
• Contraseñas de los usuarios
• …
 Análisis en Windows - Registro

• HKEY_CURRENT_USER
• Información relativa al usuario actual del sistema
• HKEY_USERS
• Información de todos los perfiles del sistema
• HKEY_LOCAL_MACHINE
• Información de la configuración del sistema (para cualquier usuario)
• HKEY_CLASSES_ROOT
• Información de la asociación de archivos y aplicaciones
• HKEY_CURRENT_CONFIG
• Información relativa al hardware del sistema
 Análisis en Windows - Registro
• Hives
• %WINDIR%\System32\Config\SAM
• %WINDIR%\System32\Config\Security
• %WINDIR%\System32\Config\Software
• %WINDIR%\System32\Config\System
• %WINDIR%\System32\Config\Default
• (<= Win XP)
• \Documents and Setting\user\NTUSER.DAT
• (>=Win 7)
• %SystemRoot%\Users\username\NTUSER.DAT
• %SystemRoot%\Users\AppData\Local\Microsoft\Windows\UsrClass.dat
 Windows Analysis – Registry
• RegRipper
 Windows Analysis – Registry
• WRR
 Windows Analysis – Registry
• Mecanismo de persistencia
• Aplicaciones ejecutadas al inicio del sistema

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Once
 Análisis en Windows - Registro

• UsserAssist
• Apps con GUI ejecutados por un usuario desde Windows Explorer
• NTUSER.DAT
• \Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
• ROT13

• Tools
• Registry Explorer
 Análisis en Windows - Registro
• Registry Explorer
 Análisis en Windows - Registro

• USB conectados en el sistema

• SYSTEM\CurrentControlSet\Enum\USB
• SYSTEM\CurrentControlSet\Enum\USBSTOR
• Las carpetas vienen determinadas por
Vendor&Product&NumSerie
• Tools:
• USBDeview
• Autopsy
 Análisis en Windows - Registro
• USBDeview
 Análisis en Windows – Event Log
• Registra eventos y actividades del sistema
• Inicio/cierre sesión del usuario
• Inicio/apagado del sistema
• Inicio/fin de un servicio
• Errores de aplicaciones
• Cambio de políticas
• Tracking de procesos
• […]
 Análisis en Windows – Event Log

• Windows 2003 y XP
• %WINDIR%\System32\config\*.evt
• Windows vista o superior
• %WINDIR%\system32\winevt\Logs\*.evtx

• Tools
• Event Viewer (Windows)
• EvtxExplorer (Eric Zimmerman’s tools)

• Evtxcmd.exe -f evtx_file --csv path --csvf output_file.csv

 Análisis en Windows – Timeline
Timeline Windows Event Log

LogParser.exe -i:evt -o:csv "Select

RecordNumber,TO_UTCTIME(TimeGenerated),EventID,Source
Name,ComputerName,SID,Strings from "C:\path_evtx\*.evtx"" >
C:\path\events_logparser.csv
 Análisis en Windows – Event log
¿Qué buscar en el event log?

Intentos de login SMB

Log de Powershell
Log de Terminal Server
Creación de servicios
Login de usuarios remotos
 Navegadores – Internet Explorer

• En Windows XP y Windows 7
• Index.dat
• Archivo oculto y de sistema
• Índice de referencias de las páginas visitadas
• Incluye visitas con Explorer.exe
• Lista no sincronizada, no se borra con las opciones de IE

• C:\users\user\AppData\Local\Micorsoft\Windows\History
 Navegadores – Internet Explorer
• Windows XP y Windows 7
• Archivos temporales, Cache y cookies
• --- Win7 ---
• C:\Users\%username%\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Content.IE5
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Cookies

• --- XP ---
• C:\Documents and Settings\%username%\Local Settings\Temporary
Internet Files\Content.ie5
• C:\Documents and Settings\%username%\Cookies
• C:\Documents and Settings\%username%\Local
Settings\History\history.ie5
 Navegadores – Internet Explorer

• En Windows 8 y Windows 10
• No existe index.dat → WebCacheV*.dat
• Formato EDB (Extensible Storage Engine)
• Temporales
• C:\Users\<username>\Local\Microsoft\Windows\Temporary Internet Files
• Historial navegación, cache y cookies
• C:\Users\username\AppData\Local\Microsoft\Windows\WebCache
• Tools
• LibeseDB
• ESEDatabaseView de nirsoft
 Navegadores – Firefox

• Formato SQLite
• Histórico de sitios: places.sqlite
• Autocompletar: FormHistory.sqlite
• Cookies: cookies.sqlite
• Passwords: signons.sqlite
• Certificados: cert8.db y cert9.d

• Ubicaciones
• XP  C:\Documents and Settings\usuario\Dataos de programa
\Mozilla\Firefox\Profiles
• Win7 o superior  C:\Users\usaurio\AppData\Roaming\Mozilla\Firefox
 Navegadores – Chrome

• Formato SQLite
• Histórico de sitios: History
• Cookies: cookies
• Passwords: Login.Dat

• Ubicaciones
• C:\Documents and Settings\usuario\Configuración local\Datos de
programa\Google\Chrome
• %UserProfile%\AppData\local\Google\Chrome\User Data\
• %UserProfile%\AppData\local\Google\Chrome\User Data\Default\Cache
 Navegadores
Browsing History View
 Navegadores

SQLite
 Análisis en Windows - Timeline

Sist.Ficheros Memoria Registro

Event Log Prefetching

 Análisis en Windows – Timeline
• TimeLine del sistema de ficheros

• Convertir de bodyfile a formato TLN

 Análisis en Windows – Timeline
• Timeline de la memoria

• Convertir body file a TLN

 Análisis en Windows – Timeline
• Timeline del registro
 Análisis en Windows – Timeline
• Unificar todo…

$ parse.pl -f memoria_tln.txt -o -c > timeline_all.csv

$ parse.pl -f mft_tln.txt -o -c >> timeline_all.csv

$ parse.pl -f registro_tln.txt -o -c >> timeline_all.csv

-o ordena más antiguos a más recientes

-c output en formato csv
 Análisis en Windows
Autopsy
 Fases del análisis

Identificación
Y Preservar Análisis Informe
adquisición
 Informes
• Documentar durante el proceso
• Información del descubrimiento del incidente
• Información inicial (entrevistas sysadmin, usuarios)
• Información del proceso
• Antecedentes, adquisición y análisis
• Objetivo de la investigación
• Herramientas utilizadas, especificar la versión
• Resultados reproducibles por un tercero
• Debe ser completo
 Informes – Estructura del informe
Resumen ejecutivo
• Nº caso
• Información de los analistas
• Objetivo y alcance de la investigación
• Información general del incidente
• Conclusiones generales

Información inicial / Antecedentes

• Detalles del incidente
• Fechas del incidente
• Información de notificación o hallazgo del incidente

Evidencias
• Información relativa a las evidencias adquiridas
• Ubicación
• Listado de evidencias adquiridas
• Herramientas utilizadas (versión)
• Preservación de las evidencias
 Informes – Estructura del informe
Análisis y evaluación
• Evaluación o investigación inicial
• Análisis de las evidencias
• Herramientas utilizadas (versión)

Conclusiones
• Hechos relevantes y conclusiones

Anexos
• Documentación adicional
• Logs (proxy, IDS, Firewall..)
• Metodología de los atacantes
• Recomendaciones
 Referencias - Tools

FTK Imager
https://accessdata.com/product-download/
Autopsy
https://www.sleuthkit.org/autopsy/
SIFT SANS
https://digital-forensics.sans.org/community/downloads
OSForensics
https://www.osforensics.com/
Sysinternals
https://docs.microsoft.com/en-us/sysinternals/
Nirsoft nirlauncher
https://launcher.nirsoft.net/
 Referencias - Tools
Dumpit
https://www.comae.com/
Ram Capturer
https://belkasoft.com/ram-capturer
Windows Registry Recovery
http://www.mitec.cz/wrr.html
Reg Ripper
https://github.com/keydet89/RegRipper2.8
Registry Explorer
https://ericzimmerman.github.io/#!index.md
Win PrefetchView
https://www.nirsoft.net/utils/win_prefetch_view.html
 Referencias - Tools

NTFS Log Tracker

https://sites.google.com/site/forensicnote/ntfs-log-tracker
JumpListsView
https://www.nirsoft.net/utils/jump_lists_view.html
Thumbcache viewer
https://thumbcacheviewer.github.io/
Browsing History View
https://www.nirsoft.net/utils/browsing_history_view.html
Foremost
Photorec
https://www.cgsecurity.org/wiki/PhotoRec
 Referencias - Tools

IRTriage
https://github.com/AJMartel/IRTriage
Bambiraptor
https://www.brimorlabsblog.com/2016/12/live-response-collection-bambiraptor.html
CyLR
https://github.com/orlikoski/CyLR
Volatility
https://github.com/volatilityfoundation/volatility
Lime
https://github.com/504ensicslabs/lime
 Referencias - Tools

Incident response tools

https://github.com/meirwah/awesome-incident-response
Forensic tools
https://github.com/cugu/awesome-forensics
Awesome CSIRT
https://github.com/shrekts/awesome-csirt
 Referencias - Trainings

CTF UNIZAR
https://ctf.unizar.es/ratas_inminentes/home

ENISA
https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-
material

CIRCL Forensics Training

https://www.circl.lu/services/forensic-training-materials/

Atenea CCN CTFs

 GRACIAS

@CybercampES
#CyberCamp19