incibe_toma_evidencias_analisis_forense

Recommendations

Info

Para realizar una correcta obtención de evidencias es importante el uso de softwareno invasivo y que se encuentre en dispositivos protegidos contra escritura (pendrive,cd-rom, etc.), y en el caso de que sospeche que el sistema se ha visto comprometidocon malware, que obtenga la información mediante sus propios métodosimplementados y no a través de la API del sistema ya que la integridad de ésta puedehaberse visto comprometida y no reflejar los resultados reales.A continuación, se indican una serie de kits especializados en este tipo de tareas, aunque lomás recomendable es crearse uno de acuerdo a las necesidades de cada uno.Tabla 1: Listado de kits open source de utilidades de análisis forense.NombreCaineDigital Forensics FrameworkThe Sleuth Kit y AutoSpyHelix Live CDForensic and Incident ResponseEnvironment (F.I.R.E)Digital Evidence & Forensic ToolkitURLhttp://www.caine-live.nethttp://www.digital-forensic.orghttp://www.sleuthkit.orghttp://www.e-fense.comhttp://fire.dmzs.comhttp://www.deftlinux.netHabitualmente se suele realizar únicamente el volcado de memoria y el volcado dedisco, y a partir de ahí se trabaja sobre diferentes copias para obtener el resto deevidencias. A continuación se indica la obtención concreta de diferentes evidenciasya que dependiendo del caso, puede no ser necesario realizar un volcado completode la información, sino que será suficiente con realizar un análisis específico.5.3. INFORMACIÓN VOLÁTILComo se ha indicado anteriormente la información volátil puede resultar muy importante a lahora de realizar un análisis forense ya que puede contener evidencias de conexiones, deprocesos en ejecución, etc. La pérdida de este tipo de información puede suponer que elanálisis forense no se complete satisfactoriamente o dificultar en gran medida el proceso. EsToma de evidencias en entornos Windows 22
por ello que, como indica el RFC 3227, se deben tomar en primer lugar las evidencias volátilesy después las que no lo son. A continuación se indica la metodología que se debe seguir y seindican algunos ejemplos de incidentes donde puede resultar útil hacerlo, de modo que lapersona que lleve a cabo el proceso realizará los pasos que considere oportunos tomandocomo base la información facilitada.5.3.1. Hora y fecha del sistemaEn cuanto a la información volátil lo primero que se debe obtener es la fecha y hora del sistemapara poder establecer una línea temporal de recopilación de evidencias, duración del proceso,etc.Para ello, se puede escribir la siguiente instrucción desde una Shell segura del intérprete decomandos, pudiendo realizarlo mediante alguna utilidad como PowerShell o WMIC:date /t > FechaYHoraDeInicio.txt &time /t >> FechaYHoraDeInicio.txtSe debe comparar la fecha obtenida con el tiempo universal coordinado (UTC), estándar detiempo por el cual se regula la hora nivel mundial, para determinar si la fecha establecida enel sistema es correcta o no, y que desviación existe.También hay que tener presente que los sistemas FAT almacenan los valores de tiempo enbase al tiempo local del ordenador, mientras que los sistemas NTFS los almacenan en formatoUTC. Esto significa que mientras que los NTFS no se ven afectados por los cambios en lazona horaria o el horario de verano, los FAT tendrán distinto valor si se visualizan en unaregión u otra con diferente franja horaria, o en verano con respecto a invierno.Así mismo, una vez finalizado el proceso se deberá ejecutar la misma instrucción cambiandoel fichero de destino a FechaYHoraFin.txt.5.3.2. Volcado de memoriaEl volcado de memoria es uno de los aspectos más importantes y críticos de la fase deadquisición. Como se ha indicado anteriormente, en la memoria se almacenan evidenciassignificativas como las conexiones establecidas, los procesos en ejecución, contraseñas devolúmenes cifrados, etc. Realizar un correcto volcado de memoria puede suponer la diferenciaentre la resolución del incidente o no. Debido a ello se debe ser muy cuidadoso durante elproceso.A la hora de obtener la memoria se deben tener en cuenta 2 tipos de memoria: la memoriafísica y la memoria virtual. La memoria física corresponde a la memoria real del sistemamientras que la memoria virtual corresponde normalmente al fichero de paginaciónpagefile.sys. Como se ha indicado anteriormente la memoria virtual permite optimizar el usode la memoria RAM ya que el sistema operativo envía ahí temporalmente la información queno sea necesaria en ese momento para los procesos en ejecución y posteriormente larecupera en el caso de alguno se la solicite.Toma de evidencias en entornos Windows 23
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21: contrastados con el fin de que ases
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73:
ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75:
PERSONAS DE CONTACTOListado de pers
Page 76 and 77:
___________________________________
Page 78 and 79:
ÍNDICE DE ILUSTRACIONESIlustració
Page 80:
ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?