incibe_toma_evidencias_analisis_forense

Recommendations

Info

O bien, ejecutar el siguiente archivo de procesamiento por lotes:@echo offfor %%t in (batfile cmdfile comfile exefile htafile https JSEfilepiffile regfile scrfile txtfile VBSfile WSFFile) do (reg export "HKEY_CLASSES_ROOT\%%t\shell\open\command" "HKCR-%%t-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg")for %%t in (batfile comfile exefile piffile) do (reg export "HKEY_LOCAL_MACHINE\software\Classes\%%t\shell\open\command""HKLM-%%t-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg")5.3.4.7. Asociaciones de ficheros con depuradores.En el registro de Windows hay una serie de entradas gracias a la cuales se puede indicar alsistema operativo que abra un programa listo para ser depurado. Hay malware que aprovechaestas entradas para ejecutarse automáticamente por lo que es recomendable ejecutar lasiguiente instrucción en este tipo de incidentes con el fin de exportar la entrada de registrocorrespondiente.reg export "HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options" "HKLM-IFEO-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"5.3.4.8. Browser Helper Objects (BHO)Los Browser Helper Objects son complementos que permiten añadir funcionalidades alnavegador. En ocasiones, algunos programas crean BHOs con el fin de monitorizar laspáginas visitadas, mostrar ventanas emergentes de publicidad, modificar el resultado en losdiferentes motores de búsqueda, etc. Es por ello que en cierto tipo de incidentes resulta deutilidad exportar la entrada de registro correspondiente a estos complementos. Para exportardicha información se debe ejecutar la siguiente instrucción (válido hasta Windows 7):reg export"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" "BHOs-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"Un caso práctico corresponde a un equipo que se sospechaba que estaba infectado ya quemostraba constantes ventanas de publicidad por lo que se realizó una exportación de dichaclave de registro, como se puede observar en la Ilustración 20.Toma de <strong>evidencias</strong> en entornos Windows 44
Ilustración 20: Browser Helper ObjectsAl analizar la exportación se comprobó que el BHO seleccionado tenía asociado una librería(DLL) que correspondía a un malware conocido como Adware.BHO.NAP, como se observaen la Ilustración 21.Ilustración 21: Análisis de Virustotal de un fichero asociado a una BHO5.3.4.9. MUICacheCada vez que un usuario ejecuta por primera vez un programa se almacena en el registro unaentrada que guarda el nombre del programa. Dicha clave se encuentra en:• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache en Windows XP.• HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache en Windows 7/8.Para exportar dicha información se debe ejecutar la siguiente instrucción:Windows XPreg export"HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache""MUICache-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"Windows 7/8reg export "HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache" "MUICache-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"Toma de <strong>evidencias</strong> en entornos Windows 45
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77: ___________________________________
Page 78 and 79: ÍNDICE DE ILUSTRACIONESIlustració
Page 80: ÍNDICE DE TABLASTabla 1: Listado d

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?