incibe_toma_evidencias_analisis_forense

Recommendations

Info

netstat -anob > "AplicacionesConPuertosAbiertos-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"Fporthttp://www.mcafee.com/es/downloads/free-tools/fport.aspx5.3.3.5. Contenido de la caché DNSEl protocolo DNS (Domain Name System o Sistema de Nombres de Dominio) permite asociardirecciones IP con nombres de dominio ya que éstos últimos son más sencillos de recordar.En la caché DNS se puede visualizar dicha asociación con respecto a los dominios a los quese ha accedido desde el equipo. Pata obtener el listado se puede utilizar el comando ipconfig.Para ello, se puede escribir la siguiente instrucción:ipconfig /displaydns > "DNSCache-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"Y el resultado obtenido es la Ilustración 11:5.3.3.6. ARP cachéIlustración 11: Contenido de la caché DNSLa tabla ARP almacena la relación entre dirección física (MAC) y dirección lógica (IP) de losequipos con los que se haya comunicado recientemente el ordenador. Hay que tener presenteque la información almacenada es temporal y que, en el caso de que no se mantenga lacomunicación, la entrada correspondiente será eliminada en un breve espacio de tiempo.Para obtener la caché de la tabla ARP se debe utilizar el comando arp.Para ello, se puede escribir la siguiente instrucción:arp -a > "ArpCache-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"Y el resultado obtenido es la Ilustración 12:Toma de <strong>evidencias</strong> en entornos Windows 32
5.3.3.7. Tráfico de redIlustración 12: ARP CacheAdemás de la información anteriormente indicada correspondiente al estado de la red,conexiones activas, etc. conviene capturar el tráfico durante un cierto espacio de tiempo paraque pueda ser analizado posteriormente. En dicho análisis se puede descubrir tráficogenerado por malware, conexiones con servidores C&C, recepción de paquetes malformados,etc.Para ello, se recomienda utilizar alguna herramienta como tshark 37 o dumpcap 38 , las cualespermiten capturar el tráfico en modo promiscuo (en el caso de que la tarjeta de red lo permita),es decir, soportan la monitorización de todo el tráfico que circula por la redindependientemente de que el origen o destino sea el host que se está analizando.Un ejemplo de utilización de la herramienta sería el siguiente.tshark –w "CapturaRed-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.pcap"O bien,dumpcap –w "CapturaRed-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.pcap"TcpdumpWiresharkNetsleuthWindumpNetWitnesshttp://www.tcpdump.orghttp://www.wireshark.orghttp://www.netgrab.co.ukhttp://www.winpcap.org/windumphttp://www.emc.com/security/rsa-netwitness.htmEn el caso de que se sospeche que existe riesgo de una posibleexfiltración de información sensible como es el caso de malware37http://www.wireshark.org/docs/man-pages/tshark.html38http://www.wireshark.org/docs/man-pages/dumpcap.htmlToma de <strong>evidencias</strong> en entornos Windows 33
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31: Ilustración 8: Conexiones NetBIOS
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77: ___________________________________
Page 78 and 79: ÍNDICE DE ILUSTRACIONESIlustració
Page 80: ÍNDICE DE TABLASTabla 1: Listado d

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?