incibe_toma_evidencias_analisis_forense

Recommendations

Info

para infectar a un gran número de usuarios de Internet. Este incremento en la explotación deeste tipo de vulnerabilidades es provocado debido a que es una manera sencilla y eficientede llegar a gran cantidad de usuarios. Es por todo ello que en muchos casos es recomendableobtener la información referente al historial para poder analizar la actividad en Internet.Por comodidad, ya que soporta los principales navegadores (Internet Explorer, Mozilla Firefox,Google Chrome, y Safari) y versiones de los mismos, es recomendable utilizar algún tipo deherramienta como BrowsingHistoryView 46 .BrowsingHistoryView.exe /HistorySource 2 /LoadIE 1 /LoadFirefox 1/LoadChrome 1 /LoadSafari 1 /stab Historial-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"Browser History SpyIEHistoryViewMozillaHistoryViewChromeHistoryViewPascoMandiant Redlinehttp://securityxploded.com/browser-history-spy.phphttp://www.nirsoft.net/utils/iehv.htmlhttp://www.nirsoft.net/utils/mozilla_history_view.htmlhttp://www.nirsoft.net/utils/chrome_history_view.htmlhttp://www.mcafee.com/es/downloads/free-tools/pasco.aspxhttps://www.mandiant.com/resources/download/redlineUn caso práctico corresponde a un equipo infectado por malware. Tras exportar y analizar elhistorial se observó la Ilustración 24:Ilustración 24: URL correspondiente a un malware en el historial de un equipo infectadoDicho ejecutable, clasificado como Trj/Lineage.JAE, era el responsable de la infección ygracias a la exportación del historial se obtuvo el foco de infección.46http://www.nirsoft.net/utils/browsing_history_view.htmlToma de evidencias en entornos Windows 52
5.3.12. Últimas búsquedasConocer las últimas búsquedas en los principales motores de búsqueda puede resultar deinterés dependiendo del tipo de incidente. Para recopilar toda esta información se puedenutilizar herramientas como MyLastSearch 47 , la cual obtiene todas las búsquedas realizadasen los principales motores de búsqueda (Google, Yahoo y MSN) y en varias redes socialescomo por ejemplo Twitter, Facebook, MySpace, etc.MyLastSearch /stab "MyLastSearch-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"5.3.13. CookiesLas cookies son pequeños ficheros de texto que permiten, entre otras cosas, mantener lasesión iniciada en un sitio web, realizar un seguimiento de la misma, almacenar laspreferencias de visualización, etc. A partir de ellas se puede obtener cierta información quepuede ser relevante en un proceso forense como direcciones de páginas web, nombres deusuario, fechas, etc. Por este motivo, puede resultar de interés obtenerlas para poderanalizarlas en el caso de que sea necesario.Existen diferentes utilidades dependiendo del navegador para poder visualizar de una manerasencilla las cookies. Entre todas ellas, destacan ChromeCookiesView 48 ,MozillaCookiesView 49 y IECookiesView 50 . Su funcionamiento es similar:GalletaMandiant Redlinehttp://www.mcafee.com/es/downloads/free-tools/galleta.aspxhttps://www.mandiant.com/resources/download/redline5.3.14. Volúmenes cifradosCada vez es más habitual utilizar herramientas de cifrado con el fin de añadir cierto nivel deprivacidad y seguridad a la información. Puede resultar de interés en un proceso forenseidentificar volúmenes cifrados ya que es probable que almacenen información relevante. Paraello se pueden utilizar herramientas como Encrypted Disk Detector 51 , la cual analiza lasunidades de almacenamiento del ordenador y determina si alguna de ellas corresponde a unvolumen cifrado con las principales herramientas, como TrueCrypt, PGP®, Safeboot, oBitlocker®.Para ello, se debe escribir la siguiente instrucción:47http://www.nirsoft.net/utils/my_last_search.html48http://www.nirsoft.net/utils/chrome_cookies_view.html49http://www.nirsoft.net/utils/mzcv.html50http://www.nirsoft.net/utils/iecookies.html51http://info.magnetforensics.com/encrypted-disk-detector/Toma de evidencias en entornos Windows 53
Page 2 and 3: AutorAsier Martínez RetenagaEsta g
Page 5 and 6: ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8: 2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10: 2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12: Tráfico de red. Procesos del
Page 13 and 14: 3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 66 and 67: En el caso de Windows 7/8, dentro d
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77: ___________________________________
Page 78 and 79: ÍNDICE DE ILUSTRACIONESIlustració
Page 80: ÍNDICE DE TABLASTabla 1: Listado d

incibe_toma_evidencias_analisis_forense

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?