Scribd
Cargar
496 vistas102 páginas

09 Taller 2

Este documento presenta un taller sobre análisis forense de discos con la herramienta Autopsy. Explica los pasos para crear un caso nuevo en Autopsy, agregar una imagen de disco de muestra como evidencia digital, e iniciar el análisis mediante la verificación de la integridad de la imagen y la exploración de las particiones del disco. El taller dura 1 hora y 30 minutos y contiene instrucciones detalladas y capturas de pantalla para guiar a los estudiantes en el proceso de análisis forense con Autopsy.

Cargado por

QueTeDenPolCuloo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
496 vistas102 páginas

09 Taller 2

Este documento presenta un taller sobre análisis forense de discos con la herramienta Autopsy. Explica los pasos para crear un caso nuevo en Autopsy, agregar una imagen de disco de muestra como evidencia digital, e iniciar el análisis mediante la verificación de la integridad de la imagen y la exploración de las particiones del disco. El taller dura 1 hora y 30 minutos y contiene instrucciones detalladas y capturas de pantalla para guiar a los estudiantes en el proceso de análisis forense con Autopsy.

Cargado por

QueTeDenPolCuloo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

CURSO ONLINE DE

CIBERSEGURIDAD
Especialidad Análisis de Incidentes y
Forense

Taller 2
Unidad 5. Análisis forense

1
TALLER 2:
ANÁLISIS DE DISCO
CON AUTOPSY

Unidad 1
Introducción a la tecnología
2
Contenidos

1 MÉTODOS DE ANÁLISIS 4

2 EJERCICIO PRÁCTICO 1 44

3 EJERCICIO PRÁCTICO 2 82

Duración total del taller: 1 hora y 30 minutos

Unidad 1
Introducción a la tecnología
MÉTODOS DE
ANÁLISIS
 1.1 Análisis de Autopsy con versión de navegador
1
 1.2 Análisis de Autopsy con versión de escritorio

Unidad 1
Introducción a la tecnología
4
1 MÉTODOS DE ANÁLISIS

A continuación, se explicarán las principales funcionalidades de Autopsy y cómo se debería realizar un análisis con ella
con ambas versiones de Autopsy.
Para la realización de este taller, los alumnos tendrán que descargarse el archivo «muestra_ejemplo_Autopsy.img»
que encontrarán entre los recursos descargables de la unidad.

Unidad 5
Taller 2
5
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

Para iniciar un análisis en la herramienta de Autopsy que viene por defecto en Kali Linux, realiza las indicaciones dadas
en la sección de preparación de entorno.
• Lo primero será descargar la imagen «muestra_ejemplo_Autopsy.img». Te recomendamos crear una carpeta
específica para cada caso para mantener un orden y almacenar todas las muestras sospechosas que hayas
exportado del caso.
• Busca la herramienta de Autopsy en el buscador y ábrela. Al iniciarla pedirá que accedas a la URL que salga en el
terminal.
 URL: [Link]

Unidad 5
Taller 2
6
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

Ilustración 1: Terminal de Autopsy.

Unidad 5
Taller 2
7
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Una vez accedas con el navegador a la URL


podrás empezar a utilizar Autopsy.

Ilustración 2:
Interfaz de Autopsy.
Unidad 5
Taller 2
8
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Primero crea un nuevo caso. Para ello, pulsa en


«new case» y saldrá la siguiente pantalla.

Ilustración 3: Nuevo caso en Autopsy.

Unidad 5
Taller 2
9
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• En esta pantalla indica el nombre del caso, así


como una descripción de este y los investigadores
que estarán implicados. Tras apuntar estos datos,
pulsa en «new case» y aparecerá una nueva
pantalla donde se te pedirá que añadas más
información.
• En esta pantalla tendrás la opción de indicar más
datos del caso, como el nombre del equipo a
investigar, una descripción e indicar la zona horaria
en la cual se va a realizar el análisis. Después,
pulsa en «next». Ilustración 4: Creación de un nuevo caso en Autopsy.

Unidad 5
Taller 2
10
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Tal y como se puede observar en la siguiente imagen, ya tienes el caso creado:

Ilustración 5: Nuevo caso en Autopsy.

Unidad 5
Taller 2
11
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Para continuar, debes añadir una fuente de datos. Para ello pulsa en «add image file».
• Aparecerá una nueva ventana en la que debes indicar dónde se encuentra la fuente de datos, indicando también la
ruta de esta. Por otro lado, debes indicar si se trata de un disco completo o de una partición. En este caso se trata de
una imagen de disco completa «Disk». Por último, es necesario elegir el método de importación que se hará al caso.
Puedes crear un archivo de enlace simbólico que enlace con la fuente de datos, puedes copiarla o moverla. En este
caso, elige la primera opción «Symlink».

Unidad 5
Taller 2
12
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

Ilustración 6: Interfaz de Autopsy.

Unidad 5
Taller 2
13
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Ahora aparecerá la siguiente ventana:

Ilustración 7:
Interfaz de Autopsy.

Unidad 5
Taller 2
14
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• En esta nueva ventana, debes indicar que se calcule el hash de la imagen. Esto es importante dado que ayudará a
validar la integridad de la imagen y verificar que no se ha modificado. De esta manera se puede garantizar la cadena
de custodia de las evidencias. Por otro lado, hay que indicar que se trasfieran todas las particiones que se encuentran
en la imagen.
• Tras esto, Autopsy comenzará a importar la imagen al caso y calculará el hash de la misma, mostrándolo en pantalla:

Ilustración 8: Cálculo de hash de Autopsy.

Unidad 5
Taller 2
15
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Tras esto, ya has añadido la fuente de datos al caso. Puedes observar las diferentes particiones del disco que has
importado a la herramienta, como puedes ver en la siguiente imagen. Si solo se hubiese hecho una imagen de una de
las particiones del disco, como podría ser C:\, únicamente aparecería esa partición en la siguiente imagen.

Ilustración 9: Fuente de datos del caso. Unidad 5


Taller 2
16
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Ahora puedes comenzar con el análisis de la imagen.


 Lo primero que tienes que hacer será comprobar la integridad de la imagen pulsando en «Image Integrity».

Ilustración 11: Análisis de la imagen.

Ilustración 10: Pulsar en «Imagen Integrity».

Unidad 5
Taller 2
17
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Aquí se calculará de nuevo el hash de la imagen y lo podrás comparar con el hash que se ha calculado anteriormente
para así validar que este se ha importado correctamente.

Ilustración 12: Cálculo del hash de la imagen.

• Se puede observar que el hash es el mismo. Por lo tanto, la integridad de la imagen se ha mantenido.

Unidad 5
Taller 2
18
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Una vez terminada la verificación de la integridad de la imagen, vuelve a la pantalla principal del caso. Para comenzar
con el análisis pulsa en la partición que desees analizar, en nuestro caso C:/ y pulsar en «Analyze».

Ilustración 13: Interfaz de análisis de Autopsy.


Unidad 5
Taller 2
19
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• A continuación, aparecerán las siguientes opciones:

Ilustración 14: Interfaz de análisis de Autopsy.

Unidad 5
Taller 2
20
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• La herramienta proporciona diferentes modos de análisis que podrás utilizar para analizar la partición:
 File analysis: permitirá buscar los ficheros de la partición, así como interactuar con ellos.
 Keyword search: permitirá buscar en la partición una palabra clave e indicará todos los archivos que la
contengan.
 File Type: permitirá realizar una lista de todos los ficheros de la partición por tipo de archivo.
 Image details: dará información acerca de la imagen de disco.
 Meta data: mostrará información del fichero como puede ser fecha de creación, modificación, acceso, ruta donde
se encuentra, etc. Para ver esta información de un fichero determinado es necesario indicarle la posición que
ocupa en la MFT (en el caso de particiones NTFS).
 Data Unit: permitirá ver áreas específicas del disco, indicándole su número de clúster.

Unidad 5
Taller 2
21
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• En este caso, pulsa en «file analysis» para observar todos los archivos que se encuentran en esta partición.

Ilustración 15: Análisis de archivos.

Unidad 5
Taller 2
22
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• De este modo puedes observar todos los archivos de la partición y buscar posibles archivos maliciosos. Al seleccionar
en uno te aparecerá información adicional del archivo, así como un menú contextual que te dará diferentes opciones,
entre ellas, la opción de exportarlo al equipo para su análisis.

Ilustración 16: Opción de exportar archivos.

Unidad 5
Taller 2
23
1 MÉTODOS DE ANÁLISIS
1.1 Análisis de Autopsy con versión de navegador

• Cuando se quiere buscar código malicioso, una de las opciones más interesantes es la de exportar el archivo del que
sospechas que es malicioso para así calcular su hash y poder pasarlo por diferentes motores de detección de
malware como VirusTotal.
 El archivo exportado lo puedes encontrar en la carpeta de descargas y con el comando sha256sum puedes
obtener el hash SHA256 para su análisis.

Ilustración 17: Comando para obtener el hash.

Unidad 5
Taller 2
24
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

Vamos a realizar la misma práctica de antes pero ahora con la versión de escritorio en lugar de hacerlo a través del
navegador.
• Al igual que con el anterior ejemplo, lo primero será descargar la imagen «muestra_ejemplo_Autopsy.img». Te
recomendamos crear una carpeta específica para cada caso, con el fin de mantener un orden y almacenar todas las
muestras sospechosas que hayas exportado del caso.
• Para iniciar la versión de Autopsy que dispongamos, en nuestro caso la versión 4.19.2, dirígete a la carpeta donde
esté instalado Autopsy. En este caso, la carpeta «opt». Una vez estés en ella, dirígete a la carpeta de «bin» dentro de
Autopsy y lanza el siguiente comando:

Ilustración 18: Lanzamiento de Autopsy. Unidad 5


Taller 2
25
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Ahora, aparecerá el siguiente menú:

Ilustración 19: Interfaz de Autopsy.


Unidad 5
Taller 2
26
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Elige la opción de «New Case» para


crear el caso.
• Aparecerá la siguiente pantalla en las
que tienes que rellenar los datos del
caso. Esto es importante para poder
llevar un seguimiento, tanto del caso
como de las personas implicadas en el
mismo.

Ilustración 20: Datos del caso en Autopsy.

Unidad 5
Taller 2
27
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

Ilustración 21: Datos del caso en Autopsy.


Unidad 5
Taller 2
28
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Tras esto, saldrá la siguiente pantalla donde debes añadir la fuente de datos al caso.

Ilustración 22: Fuente de datos del caso.


Unidad 5
Taller 2
29
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• En nuestro caso, elige la primera opción «Disk Image or VM File» y selecciona la ruta donde se encuentre el archivo.

Ilustración 23: Selección de ruta del archivo.


Unidad 5
Taller 2
30
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• En la siguiente pantalla, elige los módulos a


ejecutar en un inicio. Es recomendable no
seleccionar todos los módulos, únicamente los
que sean relevantes para el caso. No obstante,
en cualquier momento se pueden lanzar
módulos adicionales sobre la fuente de datos.

Ilustración 24: Selección de módulos relevantes para el caso.

Unidad 5
Taller 2
31
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Una vez seleccionados los módulos, en nuestro caso, se ha escogido los siguientes:
 Recent Activity.
 Hash Lookup.
 File Type Identification.
 Extension Mismatch Detector.
 Embedded File Extractor.
 Keyword Search.
 Encryption Detection.
 Interesting Files Identifier.

Unidad 5
Taller 2
32
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Pulsa en «Next» y ya se habrá añadido la fuente


de datos al caso. Ahora, se iniciará la ejecución
de los módulos seleccionados.

Ilustración 25: Ejecución


de los módulos.

Unidad 5
Taller 2
33
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Puedes ver en la esquina inferior derecha de la herramienta cómo se van ejecutando los diferentes módulos de
ingesta.

Ilustración 26: Progresión de la ejecución.

Unidad 5
Taller 2
34
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Una vez se hayan pasado todos los módulos,


puedes ver los resultados en el lateral izquierdo
de la herramienta y empezar con el proceso de
análisis.

Ilustración 27:
Resultados del análisis.
Unidad 5
Taller 2
35
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Tienes disponibles todos los datos que los diferentes módulos han extraído y analizado, de esta manera puedes
fácilmente buscar información que pueda resultar de utilidad. Por ejemplo, información del sistema operativo,
descargas que se han realizado al sistema o programas que estaban funcionando en el equipo a la hora de la
realización de la copia de la imagen, etc.
 Algunos de estos módulos, como podría ser el de «hash lookup», únicamente los ejecutaremos cuando
dispongamos de una lista de hashes que queremos buscar en el disco. Por ejemplo, si en un incidente de
seguridad se han identificado varios hashes de los malwares implicados, en este caso añadiríamos los hashes a
un nuevo «hash dataset» y ejecutaríamos el módulo «hash lookup» para que los busque en la imagen de disco a
analizar.

Unidad 5
Taller 2
36
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Para la ejecución del módulo de «hash lookup», dirígete a «tolos», selecciona la opción de «run ingest modules» y
selecciona los módulos que quieras, en este caso «hash lookup».

Ilustración 28: Seleccionamos


la opción «tools» Unidad 5
37
Taller 2
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

Ilustración 29: Ejecución del módulo.


Unidad 5
Taller 2
38
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• A la hora de añadir un nuevo data set, pulsa en


«Global Settings» > «New Hash Set» y añade
los hashes a buscar con el módulo.

Ilustración 30:
Nuevo data set.

Unidad 5
Taller 2
39
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Además de los resultados extraídos a partir de los módulos, en cualquier momento tienes la posibilidad de navegar
entre los diferentes archivos de la imagen. Para ello, pulsa sobre «data source» y navega sobre los distintos
directorios.

Ilustración 31: Navegación por directorios. Unidad 5


Taller 2
40
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

• Algunas de las carpetas más interesantes para analizar de un equipo son:


 La carpeta de reciclaje (Recycle Bin): en este directorio se almacenan los archivos que borran los usuarios.
Algunos malware utilizan esta ruta para esconderse y evitar ser detectados por las soluciones de seguridad.

Ilustración 32: Carpeta de reciclaje. Unidad 5


Taller 2
41
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

 Registro de Windows (Windows\system32\config): suelen ser utilizadas por el malware para asegurarse la
persistencia en el sistema. Debes buscar rutas que parezcan sospechosas. Algunas de las rutas más comunes
donde se intenta esconder un malware son «C:\Program Data», «C:\Users» y «C:\Windows\System32».

Ilustración 33: Registro de Windows. Unidad 5


Taller 2
42
1 MÉTODOS DE ANÁLISIS
1.2 Análisis de Autopsy con versión de escritorio

 Directorios de inicio del usuario y del equipo (Windows\Start Menu\StartUp): el malware también puede
copiarse en estos directorios, tanto el de inicio del usuario como los del equipo, para garantizarse la persistencia
en el equipo.

Ilustración 34: Directorios de inicio del usuario y del equipo.


Unidad 5
Taller 2
43
EJERCICIO
2
PRÁCTICO 1
 2.1 Enunciado ejercicio práctico 1
 2.2 Solucionario ejercicio práctico 1

44
2 EJERCICIO PRÁCTICO 1
2.1 Enunciado ejercicio práctico 1

• Realiza un análisis completo de la imagen de disco proporcionada


«muestra_1_Autopsy.img», la cual se realizó debido a que
sufrió un incidente de seguridad por un malware.

• Identifica el malware y extrae todas las evidencias que se puedan


obtener de su ejecución.

Unidad 5
Taller 2
45
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• En primer lugar, es necesario calcular el hash md5 de la imagen utilizando el comando md5sum, tal y como puede
verse en la imagen:

Ilustración 35: Cálculo del hash.

Unidad 5
Taller 2
46
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

• A continuación, inicia Autopsy y


selecciona «Crear nuevo caso».
 La primera pantalla que
proporciona esta herramienta
solicita introducir datos del caso
incluyendo nombre de caso y el
directorio donde se va a guardar
toda la información.

Ilustración 36: Datos del nuevo caso.

Unidad 5
Taller 2
47
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• La siguiente pantalla solicita información
adicional del caso, como el número de caso,
datos del examinador y datos de la
organización en caso necesario.

Ilustración 37: Información adicional del caso.

Unidad 5
Taller 2
48
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Tras incluir esta información se crea
el caso en Autopsy, que puede
tardar algunos minutos. Finalmente,
aparecerá una nueva pantalla
indicando el host.

Ilustración 38: Selección del host.

Unidad 5
Taller 2
49
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• A continuación, selecciona el tipo de imagen o
archivo que se va a analizar. En este caso se
trata de una imagen de disco (en inglés, Disk
Image or VM File).

Ilustración 39: Selección de la imagen de disco.

Unidad 5
Taller 2
50
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Selecciona dónde se encuentra la
imagen de disco e indica la zona horaria.
Además, de manera opcional, se puede
añadir el hash md5 calculado
previamente para validar la autenticidad
de la evidencia.

Ilustración 40: Ruta de imagen de disco.

Unidad 5
Taller 2
51
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• En la siguiente ventana, selecciona los módulos
encargados de analizar la información,
únicamente aquellos que tengan relevancia con
el caso. En el ejemplo se seleccionan los
siguientes módulos: «Recent Activity», «Hash
Lookup», «File Type Identification», «Extension
Mismatch detector», «Embedded File Extractor»,
«Keyword Search», «Encryption Detection» y
«Interesting Files Identifier».

Ilustración 41: Selección de módulos relevantes.

Unidad 5
Taller 2
52
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Por último, espera al análisis de la imagen de disco.

Ilustración 42: Progreso del análisis.

Unidad 5
Taller 2
53
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• A continuación, se presenta toda la información extraída por la herramienta. Con esto ya puedes iniciar el análisis
forense.
 Lo primero es obtener información sobre el sistema operativo instalado en la imagen para saber dónde buscar
información relevante. Para ello, en la parte izquierda de la herramienta dirígete al apartado Operating System
Information y observa la información que aporta la fuente llamada Software.
 Como puedes observar, se trata de un sistema Windows 10 Home.

Unidad 5
Taller 2
54
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

Ilustración 43: Información del sistema


operativo de la imagen.
Unidad 5
Taller 2
55
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Una característica de la mayoría de los programas maliciosos es la persistencia en el sistema y su ejecución al inicio,
es decir, que el malware permanezca en el ordenador cuando es apagado o reiniciado y, no solo eso, sino que se
ejecute al inicio, cuando se reinicia el equipo. Una forma de conseguir esa persistencia es agregar el programa en la
carpeta de inicio de Windows. Se pueden dar dos casuísticas:
 Añadirse a la carpeta de inicio para todo el sistema de manera que el malware se ejecute con el inicio de sesión de
cualquier usuario. La carpeta de inicio general se encuentra en la ruta C:\ProgramData\Microsoft\Windows\Start
Menu\Programs\StartUp.
 Añadirse a la carpeta de inicio de un usuario concreto para que se ejecute únicamente cuando ese usuario
específico inicie sesión. La carpeta de inicio de un usuario específico se encuentra en la siguiente ruta:
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Unidad 5
Taller 2
56
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Por lo comentado anteriormente resulta interesante buscar en ambas carpetas la existencia de algún ejecutable que
resulte sospechoso. Busca en las siguientes rutas:
 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
 C:\Users\Stude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

En este caso, el malware se ha copiado en la carpeta de inicio del usuario «Stude» como puede observarse en la
imagen de la siguiente diapositiva.

Unidad 5
Taller 2
57
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

Ilustración 44: Ruta del malware.


Unidad 5
Taller 2
58
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

• Autopsy muestra el hash de cualquier fichero


una vez hayas ejecutado el módulo «Hash
Lookup». Para ver el hash de un archivo
simplemente debes pulsar el nombre del
archivo y en la zona inferior de la pantalla
aparecerá información del mismo entre la que
se incluye el hash. En el caso del ejecutable
anterior, su hash SHA256 es el siguiente:
 663f633afa45efb1fbedbe08b5efa7606e4e7
7b5e94d8df8e99b5a99382e81ee. Ilustración 45: Hash del ejecutable.

Unidad 5
Taller 2
59
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Teniendo el hash puedes, por ejemplo, utilizar la herramienta de VirusTotal para obtener más información del ejecutable.
• El enlace de acceso a esta herramienta es el siguiente: [Link] y no necesita
registro para el uso que vamos a darle en esta práctica.
• Para el objetivo de esta práctica, únicamente se utiliza el apartado «Search» donde se realizan búsquedas de hashes,
IPs, URLs y dominios. De cada búsqueda se nos muestra una puntación sacada de si diferentes motores de antivirus
identifican la búsqueda como maliciosa. Existen diversos apartados en cada resultado y son los siguientes:
 «Detection», que muestra los motores que han detectado la búsqueda y como la han clasificado.
 «Details», donde se muestran detalles de la búsqueda.
 «Relations», que muestra ficheros relacionados o direcciones IP, etc.
 «Community», que incluye comentarios realizados por la comunidad.
• Dependiendo de la búsqueda se mostrarán más o menos apartados que proporcionan información adicional.

Unidad 5
Taller 2
60
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

Ilustración 46: Análisis de VirusTotal.

Unidad 5
Taller 2
61
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Como se muestra en la captura de pantalla anterior, observa que 60 motores de antivirus califican el archivo como
malicioso, específicamente como un troyano.
• Volviendo a Autopsy, en la zona superior derecha de la pantalla donde se muestra el listado de archivos, puedes
observar que existe un archivo con el mismo nombre del que hemos analizado, pero seguido del texto «[Link]»,
esto es un ADS (Alternative Data Streams) o flujo de datos alternativos que se añade, por ejemplo, cuando el archivo se
descarga desde Internet. En este caso, pulsando sobre el archivo que termina en «[Link]», en la zona inferior
de la herramienta se indica que el archivo se ha creado desde otro archivo que se ubicaba en la carpeta de descargas
del usuario (directorio inicial donde se creó el malware por primera vez en el equipo), lo que indicaría que este archivo
es un duplicado del malware.

Unidad 5
Taller 2
62
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

Ilustración 47: Duplicado del malware.

Unidad 5
Taller 2
63
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Dicho de otra forma, el ejecutable
«[Link]»
proviene de la carpeta comprimida llamada
«[Link]», que se encuentra en la
carpeta «Descargas» del usuario «Stude».
• Dirígete a la carpeta de descargas del usuario
para buscar el archivo y observa que aún existe
en esa ruta.

Ilustración 48: Ruta de la carpeta de descargas.

Unidad 5
Taller 2
64
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• En la imagen de la diapositiva anterior se puede ver que Autopsy ha añadido un símbolo de alarma para este archivo.
Inspeccionando la pestaña «Analysis Results» se observa que uno de los módulos de Autopsy ha detectado que se
trata de un archivo protegido con contraseña. Esto suele ser común, ya que es habitual enviar por e-mail archivos .zip
protegidos con contraseña para que el servicio de correo electrónico no los bloquee, y en el mismo mensaje en el que
se adjunta el archivo también se indica la contraseña para poder abrirlo. Lo que también da una sensación falsa de
seguridad al usuario que lo recibe pensando que, dado que está protegido con una contraseña, no puede ser
malicioso.

Unidad 5
Taller 2
65
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

Ilustración 49: Archivo protegido con contraseña.

Unidad 5
Taller 2
66
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• De igual manera que en el archivo ejecutable
anterior, el siguiente archivo después de
[Link] (el que contiene el ADS
«[Link]») informa sobre su fuente
original.

Ilustración 50: Fuente original del archivo.

Unidad 5
Taller 2
67
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• En este caso, la carpeta comprimida se ha
descargado desde Outlook, por lo que refuerza
la hipótesis de que provenga de una campaña
de phishing.
• Volviendo a la información que proporciona
VirusTotal sobre el troyano, en la pestaña
«Relations» aparece que está relacionado con el
dominio 4[.]tcp[.]ngrok[.]io.

Ilustración 51: Análisis de VirusTotal.

Unidad 5
Taller 2
68
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Buscando el dominio en VirusTotal, este se encuentra calificado como malicioso por 11 motores de antivirus.

Ilustración 52: Análisis del dominio sospechoso.

Unidad 5
Taller 2
69
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Con esta información, en Autopsy realiza una búsqueda del dominio haciendo uso de la utilidad «Keyword Search»,
que permite buscar una palabra clave en toda la imagen de disco.

Ilustración 53: Búsqueda del dominio en Autopsy.

Unidad 5
Taller 2
70
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Los resultados no muestran evidencia
de que se haya intentado conectar con
dicho dominio. Sin embargo, ha
encontrado el dominio 4[.]tcp[.]ngrok[.]io
en las cadenas que contiene la muestra.

Ilustración 54: Resultados en las cadenas.

Unidad 5
Taller 2
71
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• En el resto de la información que se muestra en el resultado anterior, puedes identificar la clave de registro
«Software\Microsoft\Windows\CurrentVersion\Run», lo que presumiblemente indica que el malware se copia en esta
clave de registro para ganar persistencia en el sistema.
• Para comprobar la hipótesis anterior, dirígete al registro de Windows y verifica si el malware ha creado una nueva clave
en la ruta identificada. La ruta donde se encuentra la clave de registro es la siguiente:
/img_muestra_1_Autopsy.img/vol_vol3/Windows/System32/config/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

Unidad 5
Taller 2
72
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1

Ilustración 55: Registro de Windows.

 Sin embargo, no se encuentra evidencia de que se haya registrado para ganar persistencia en esta clave de
registro.

Unidad 5
Taller 2
73
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• A continuación, realiza una búsqueda por hash
en Autopsy. El objetivo es encontrar otros
archivos que tengan el mismo hash y, por lo
tanto, sean una copia del malware, pero tengan
nombres diferentes. Para realizar la búsqueda
por hash se utiliza el módulo «HashLookup».
 En primer lugar, en la pantalla de análisis
de Autopsy dirígete a la pestaña «Tools >
Run Ingest Modules» y selecciona el
Ilustración 56: Selección de muestra de estudio.
archivo de la práctica.

Unidad 5
Taller 2
74
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
 Marca el módulo «HashLookup» y
selecciona la opción «Global Settings».

Ilustración 57:
Selección del módulo.

Unidad 5
Taller 2
75
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
 Posteriormente, crea un nuevo set de hashes, «New Hash Set», y asigna un nombre.

Ilustración 58: Creación de set de hashes.

Unidad 5
Taller 2
76
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
 A continuación, añade el hash del malware en la opción «Add Hashes to Hash Set».

Ilustración 59: Adicción del hash (I).

Ilustración 60: Adición del hash (II).

Unidad 5
Taller 2
77
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
 Por último, una vez añadido el hash pulsamos «OK» y «Finish» en la siguiente pantalla para aplicar el módulo y
espera a que termine.

Ilustración 61: Finalización de módulos.

Unidad 5
Taller 2
78
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Como resultado de la búsqueda
realizada por el módulo de «Hash
Lookup» aparecen dos archivos con
el mismo hash, el archivo
«482887cdfb93fbc01176d9593d0ebb
[Link]» que ya habías localizado y
otro archivo llamado
«[Link]».

Ilustración 62: Archivos con el mismo hash.

Unidad 5
Taller 2
79
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Observando en los metadatos que ofrece
Autopsy de este último archivo, puedes
ver que se localiza en la carpeta temporal
del usuario «Stude».
• En esa carpeta puedes ver que Autopsy
la marca por su coincidencia con varios
análisis. Entre ellos está la coincidencia
con el hash del malware y la coincidencia
con el dominio [Link][.]io que, como
se ha comentado anteriormente, estaba Ilustración 63: Resultados del análisis.
relacionado con el troyano.

Unidad 5
Taller 2
80
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Puedes determinar que el equipo ha sido infectado por un malware de tipo troyano, el cual se encuentra en la carpeta de
descargas y ha llegado a través de Outlook, por lo que, presumiblemente, se trata de un caso de phishing. Además, este
ha creado persistencia ejecutándose al inicio de sesión del usuario «Stude».

Unidad 5
Taller 2
81
EJERCICIO
3
PRÁCTICO 2
 3.1 Enunciado ejercicio práctico 2
 3.2 Solucionario ejercicio práctico 2

Unidad 1
Introducción a la tecnología
82
3 EJERCICIO PRÁCTICO 2
3.1 Enunciado ejercicio práctico 2

• Realizar un análisis completo de la imagen de disco


proporcionada «muestra_2_Autopsy.img» en la cual se ha
realizado la ejecución de un malware.

• Identificar el malware, así como extraer todas las evidencias que


se puedan obtener de la ejecución de este.

Unidad 5
Taller 2
83
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Para comenzar el análisis, debemos
cargar la imagen de disco en Autopsy,
para lo cual debemos empezar un
nuevo caso.
• Primero Autopsy pide asignar un
nombre al caso y una carpeta donde
guardar la información.

Ilustración 64: Asignación del nuevo caso.

Unidad 5
Taller 2
84
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• En la siguiente pantalla pide información
adicional del caso y del usuario que va a
realizar el caso. A continuación, se creará
un caso en Autopsy y una carpeta en el
directorio seleccionado donde se
guardarán los datos del caso.

Ilustración 65: Información adicional del caso.

Unidad 5
Taller 2
85
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• A continuación, debes seleccionar el host que se
va a analizar, en este caso es una imagen de
disco, por lo que debes seleccionar la opción
«Disk Image or VM».

Ilustración 66: Selección de imagen de disco.

Unidad 5
Taller 2
86
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Por último, selecciona la imagen de disco para ser analizada en el caso y los analizadores que desees utilizar. Este
último paso es muy importante. Cabe señalar la importancia de no cargar más analizadores de los necesarios, ya que
tardará más tiempo en darnos los resultados y seleccionar muchos analizadores puede ralentizar el equipo en exceso.
• En nuestro caso, hemos escogido los siguientes:
 Recent Activity.  Embedded File Extractor.
 Hash Lookup.  Keyword Search.
 File Type Identification.  Encryption Detection.
 Extension Mismatch Detector.  Interesting Files Identifier.

Unidad 5
Taller 2
87
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

Ilustración 67: Selección de analizadores.


Unidad 5
Taller 2
88
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Una vez cargada la información del caso y
obtenidos los resultados del análisis, lo primero
es obtener la información sobre el sistema
operativo instalado en la imagen para identificar
las rutas y artefactos a analizar. Para ello,
dirígete al apartado «Operating System
Information» y observa la información que aporta
la fuente llamada Software. En este caso, se
trata de un sistema Windows 10 Home.

Ilustración 68: Información del sistema operativo.

Unidad 5
Taller 2
89
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

• Comprueba la información que dan los analizadores. Inicialmente no da mucha información relevante, por lo que
sigue mirando en el archivo de la imagen en busca de ficheros sospechosos.
 En este caso, empieza buscando en «Descargas» y «Documentos» de cada usuario, que son las carpetas en las
que más fácilmente puedes encontrar alguna descarga realizada por un usuario.
• Tras la revisión de los directorios anteriores, en el directorio «Documentos» del usuario «Stude» encuentras el
directorio «Psicologí[Link]», que a su vez tiene en su interior un archivo sospechoso llamado «3 [Link]». Si
revisas los metadatos, puedes extraer el hash para realizar una búsqueda en VirusTotal y verificar si el archivo está
clasificado como malicioso. En este caso, es detectado como malicioso por 45 motores de antivirus.

Unidad 5
Taller 2
90
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

Ilustración 69: Análisis en VirusTotal.

Unidad 5
Taller 2
91
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Una vez confirmado que el archivo es malicioso, realiza dos comprobaciones:
 Si el malware se ha ejecutado en el equipo.
 Hacer una búsqueda por hash utilizando las herramientas que proporciona Autopsy para verificar que el archivo
no se haya copiado en otras rutas del equipo.
• Para realizar la primera comprobación, dirígete a «Run Programs» dentro de «Data Artifacts» y busca el nombre del
ejecutable. Puedes observar que se ha ejecutado, ya que encuentras un fichero de «Windows Prefetch». También
puedes ver el día y la hora de la ejecución.

Unidad 5
Taller 2
92
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

Ilustración 70: Comprobación del ejecutable.

Unidad 5
Taller 2
93
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Para realizar la búsqueda por hash del archivo para
verificar si se ha instalado en más sitios, dirígete a
«Tools» y selecciona «File Search by Atributtes» y en
el apartado correspondiente introduce su hash (no
importa si es el MD5 o el SHA-256 o ambos).
• Cuando la búsqueda finaliza, puedes comprobar que
el archivo está alojado también en la carpeta
«Windows/Fonts», pero su nombre tiene la intención
de pasar desapercibido y ocultarse en el sistema.

Ilustración 71: Archivo sospechoso.

Unidad 5
Taller 2
94
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

• El hecho de que se instale en esta carpeta indica


que el ejecutable original pretende acceder al
Kernel del sistema aprovechando una
vulnerabilidad existente en Windows 10.
• Revisando todos los detalles que proporciona
Autopsy del ejecutable original puedes ver las
cadenas de texto que contiene, donde aparece
una ruta de registro y las claves «Hidden» y
«HideFileExt» relacionadas con configuraciones
del sistema.

Ilustración 72: Revisión de detalles de Autopsy.

Unidad 5
Taller 2
95
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Para comprobar que el malware ha modificado
estas claves, revisa el registro de Windows. En
este caso, abre el fichero «[Link]» del
usuario «Stude».

Ilustración 73: Fichero a comprobar.

Unidad 5
Taller 2
96
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

• Puedes ver que el valor «HideFileExt» está a 1,


lo cual indica que está activada la opción de
esconder las extensiones. Esto, unido al hecho
de que cambia su nombre al copiarse en
«Windows/Fonts», indica un propósito de
ocultación.

Ilustración 74: Valor de HideFileExt.

Unidad 5
Taller 2
97
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• El valor de «Hidden» está a 0, lo cual hace
que los ficheros y carpetas ocultas por defecto
en Windows permanezcan ocultas. Esto indica
que el malware pretende evitar que los
ficheros ocultos puedan esconderse,
probablemente con el objetivo de poder
detectar y parar las acciones de cualquier
antivirus del sistema.

Ilustración 75: Valor de Hidden.

Unidad 5
Taller 2
98
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• La siguiente comprobación es ver si el malware ha conseguido generar persistencia.
 Para ello, revisa las claves de registro relacionadas con la ejecución de archivos al inicio del sistema o cuando un
usuario inicia sesión. En este caso, has encontrado que se ha creado una clave en la siguiente ruta
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run.
• En la ruta anterior, el malware ha creado la clave siguiente clave y contenido:
 Clave: TempCom
 Valor: C:\WINDOWS\FONTS\[Link]

Unidad 5
Taller 2
99
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2

Ilustración 76: Ruta de modificaciones del malware.


Unidad 5
Taller 2
100
3 EJERCICIO PRÁCTICO 2
3.1 Solución ejercicio práctico 2
• Revisa otras formas con los que el malware intenta ganar persistencia. Sin embargo, no encontrarás más copias o
registros relativos a este.

Tras el análisis forense, has verificado que el malware se trata de un troyano que se ejecutó desde la carpeta
«Documentos» del usuario «Stude». Además, tras revisar el Prefetch has confirmado la hora de ejecución, has
encontrado que ha creado una copia de sí mismo en el directorio que contiene las fuentes de Windows, que ha ganado
persistencia en el equipo creando una clave de registro en una de las rutas de «Run» que se ejecutan al inicio y que ha
cambiado algunas claves que tienen que ver con la configuración de Windows a fin de ocultarse.

Unidad 5
Taller 2
101
¡GRACIAS!

102

También podría gustarte