incibe_toma_evidencias_analisis_forense

Recommendations

Info

En el caso de Windows 7/8, dentro de las carpetas ubicadas en%SystemDrive%\$Recycle.Bin\ por cada fichero eliminado habrá dos ficheros con elmismo nombre excepto la segunda letra, como se puede observar en la Ilustración 33. El quetiene la letra L como segunda letra almacena la ruta original del fichero borrado y el que tienela letra R como segunda letra almacena el propio fichero borrado.5.4.12. Fichero hostsIlustración 33: Papelera de reciclaje a partir de Windows 7El funcionamiento del fichero hosts es el siguiente: cuando un usuario introduce una URL enel navegador, el sistema consulta en primer lugar el fichero hosts. En el caso de que el ficherocontenga alguna asociación para dicha URL, se redirigirá a la dirección que tenga configuraday en el caso de que la URL no aparezca en el fichero hosts se realizará una consulta al ISP(Internet Service Provider) para solicitarle la dirección a la que debe ser redirigido.Consultar el fichero hosts puede resultar una práctica conveniente en ciertas ocasiones yaque es habitual que en los casos de infección el malware modifique el fichero hosts con el finde impedir que el usuario pueda acceder a ciertas páginas web, principalmente aquellas quecorresponden a antivirus, suites de seguridad o actualizaciones de este tipo de software.Para conocer obtener el contenido del fichero hosts se debe ejecutar la siguiente instrucción:type c:\windows\system32\drivers\etc\hosts > "FicheroHosts-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"Un caso práctico corresponde a un equipo de un particular cuyo antivirus no se actualizaba yel usuario tampoco podía acceder a algunas páginas. Al comprobar el fichero host se observóla Ilustración 34:Toma de <strong>evidencias</strong> en entornos Windows 66
Ilustración 34: Fichero Host modificado por un malwareContenía redirecciones para algunas compañías de antivirus con el fin de imposibilitar alusuario acceder a ellas.5.4.13. Comprobar los ejecutables que no estén firmadosDependiendo del tipo de incidente, y principalmente en aquellos relacionados con malware,resulta útil comprobar los ficheros no firmados de ciertas carpetas. Para ello se puede utilizarherramientas como sigcheck 61 .Para ello, se debe escribir la siguiente instrucción:sigcheck -ct -h -vn -vt c:\Windows > "FicherosFirmados-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"sigcheck -ct -h -vn -vt c:\Windows\System32 > "FicherosFirmadosWindows-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.txt"5.4.14. Ficheros LNKLos ficheros con extensión LNK corresponden a accesos directos. Estos ficheros almacenangran cantidad de información que puede resultar relevante en un incidente:• Ruta del fichero al que enlazan.• Tiempos MAC tanto del propio fichero como del fichero que enlaza.• Información de la unidad donde está almacenado (nombre, número de serie, direcciónMAC, etc).• Información de la red, en el caso de que referencie a un fichero almacenado en unaubicación remota.• Tamaño del fichero.Para recopilar todos estos ficheros se pueden emplear diferentes utilidades como lnk-parsero Windows LNK Parsing Utility. Un ejemplo de utilización de lnk-parser es el siguiente:lnk_parser_cmd.exe -o listadoLNKs -w -s C:61http://technet.microsoft.com/es-es/sysinternals/bb897441.aspxToma de <strong>evidencias</strong> en entornos Windows 67
Page 2 and 3:
AutorAsier Martínez RetenagaEsta g
Page 5 and 6:
ANEXO 1 - PERSONAS DE CONTACTO 72AN
Page 7 and 8:
2 INTRODUCCIÓN AL ANÁLISIS FORENS
Page 9 and 10:
2.3. CARACTERÍSTICASEl procedimien
Page 11 and 12:
Tráfico de red. Procesos del
Page 13 and 14:
3 TIPOLOGÍAS DE UN INCIDENTEExiste
Page 15 and 16: • Propiedad intelectual: La vulne
Page 17 and 18: 4.1.2. Acciones que deben evitarseS
Page 19 and 20: 4.5. CONCLUSIONESA la hora de reali
Page 21 and 22: contrastados con el fin de que ases
Page 23 and 24: por ello que, como indica el RFC 32
Page 25 and 26: ordenador, si es uno de sobremesa,
Page 27 and 28: paginación, por lo que la persona
Page 29 and 30: PsServiceVolatilityhttp://technet.m
Page 31 and 32: Ilustración 8: Conexiones NetBIOS
Page 33 and 34: 5.3.3.7. Tráfico de redIlustració
Page 35 and 36: En algunos de los correos se observ
Page 37 and 38: eg export "HKEY_LOCAL_MACHINE\Syste
Page 39 and 40: Ilustración 16: Listado de redes W
Page 42 and 43: Un caso práctico corresponde a un
Page 44 and 45: O bien, ejecutar el siguiente archi
Page 46 and 47: MUICacheViewhttp://www.nirsoft.net/
Page 48 and 49: 5.3.4.13. Software instalado.Ilustr
Page 50 and 51: copy %UserProfile%\Configuracion lo
Page 52 and 53: para infectar a un gran número de
Page 54 and 55: EDD.exe > "VolumenesEncriptados-%da
Page 56 and 57: WinDDClonezillaOSFClonehttp://sourc
Page 58 and 59: En los tres casos descritos, indepe
Page 60 and 61: %WinDir%\system32\spool\printers ca
Page 62 and 63: 5.4.8.4. Otros logsExisten otra ser
Page 64 and 65: Ilustración 30: Estructura de los
Page 68 and 69: 6 RESUMENComo se ha indicado al pri
Page 70 and 71: 8 REFERENCIAS[1] Using IOC (Indicat
Page 72 and 73: ANEXO 1 - PERSONAS DE CONTACTONúme
Page 74 and 75: PERSONAS DE CONTACTOListado de pers
Page 76 and 77: ___________________________________
Page 78 and 79: ÍNDICE DE ILUSTRACIONESIlustració
Page 80: ÍNDICE DE TABLASTabla 1: Listado d
show all

incibe_toma_evidencias_analisis_forense

Create successful ePaper yourself

Delete template?

Save as template?