domingo, 13 de diciembre de 2009

Analizando capturas de red

De paseo por la blogosfera orientada al análisis de la (in)seguridad de los sistemas informáticos un artículo en pentester.es confirma mis sospechas de que no existe una única forma de hacer la misma cosa o, expresado en lenguaje más popular, que todos los caminos conducen a Roma.

En este caso el detonante es la web del instituto SANS para los cursos de análisis
forense de capturas de red y más concretamente su segundo puzzle. ¿Y de qué va esto? Simple, publican una captura de red en formato pcap, nos cuentan una historia relacionada con el origen de la misma y formulan una serie de cuestiones a extraer como resultado de las pesquisas. Sirve cualquier método para resolver el reto, pero solo el más original será el llamado a erigirse como vencedor y, por lo tanto, merecedor del premio.

Leer más...

martes, 8 de diciembre de 2009

Automatizando los volcados de memoria

Pues resulta que andaba yo revisando uno de los PCs traídos de un cliente para ser reparado en taller, y tal como tengo por costumbre, y por eso de ir aprendiendo, me disponía a utilizar windd para volcar la memoria del sistema en un fichero. En esas me encontraba cuando apareció por allí mi compañero, una grandísima persona y aún mejor administrador de sistemas Linux, interesándose por mis maniobras. Después de contarle un poco por encima lo que aquí acabo de describir y verme consultar la ayuda del comando en un par de ocasiones me dijo - yo personalmente, cuando tengo que repetir una tarea al menos dos veces, siempre me genero un script.

Leer más...

martes, 17 de noviembre de 2009

Registro de Windows, svchost y malware

Toda esta historia comenzó hace un par de días, en una de las visitas rutinarias de mantenimiento a empresas que realizo como técnico informático. Configurando la copia de seguridad para el fichero pst, utilizado como almacén del correo electrónico por MS Outlook, me disponía a modificar el comportamiento predeterminado del explorador de Windows para que me mostrase los ficheros ocultos, y hete aquí que saltó la alarma.

Leer más...

martes, 27 de octubre de 2009

Volatility 1.3.2 is out!

Vía echo6 me entero de la noticia. Parece que después de un intenso trabajo de desarrollo ya tenemos una nueva versión estable del framework para el análisis de volcados de memoria de sistemas Windows.

Si somos realmente intrépidos podremos descargar la rama de desarrollo utilizando subversion desde el sitio en Google Code. En cualquier caso seguro que estarán encantados de que informemos sobre cualquier posible bug derivado de su uso.

Destacar la gran labor que está llevando a cabo Jamie Levy en la parte de documentación, disponible también en el sitio de Google y donde, ¡atención!, aparecemos enlazados :)

Leer más...

jueves, 22 de octubre de 2009

Crónica de una infección, día 3

Parece que olvidé extraer de la máquina virtual infectada los ficheros con la traza del malware, léase el log de Process Monitor (Logfile.PML) y la captura de Wireshark (malware.pcap). No repetiré aquí como montar el disco creado por Vmware Server, en todo caso siempre puedo consultar mis notas.

Después de advertir el tamaño del log de Process Monitor (casi 92MB), advierto que las pistas obtenidas en cuanto a nuevos ficheros y claves del registro creadas en el sistema junto con varias operaciones lógicas, serán cruciales para seguirle los pasos al engendro.

Leer más...

lunes, 12 de octubre de 2009

Crónica de una infección, día 2

Continuando por donde lo dejé llega el momento de la infección, autoinfección o como quiera que deba llamársele, que al final el resultado va a ser el mismo. Ya tengo todo lo que necesito en el directorio C:\analisis, incluyendo el programa fileverifier++ (C:\analisis\fv), regshot (C:\analisis\regshot) y las utilidades de sysinternals que he escogido para estas labores (C:\analisis\sysinternals).

Dentro de ese mismo directorio además tengo un fichero con las sumas md5 para el sistema "limpio" (C:\analisis\fv\baseline.01.txt) y una instantánea del registro, también en las mismas condiciones (C:\analisis\baseline.regshot.01.hiv).

Por último, y también en esa ubicación, he extraido el contenido del fichero descargado de offensivecomputing, con nombre malware. Así que vamos con la acción. Ah, casi olvido mencionar que, cuando terminé la instalación de Windows en la máquina virtual agregué las VMware-tools. Tendré que tener más cuidado a partir de ahora e intentar registrar detalladamente cada uno de mis pasos, mejor que sobre a que falte.

Leer más...

viernes, 2 de octubre de 2009

Crónica de una infección, día 1

Siempre había querido escribir un diario, solo que nunca pense que tendría algo que contar. Quizás realmente siga sin tener nada interesante que escribir, pero lo cierto es que un día tenía que ser el primero, y éste es tan bueno para ello como podría serlo cualquier otro. Lo mejor será que empiece por el principio, y el principio fué hace algunas semanas, en casa de un buén amigo.

Supongo que todos los que, de alguna forma, disfrutamos haciéndoles perrerías a los ordenadores, padecemos algo de deformación profesional. En mi caso se manifiesta sintiéndome tentado a toquetear siempre que advierto el menor signo de vida palpitando en un monitor, y eso es lo que pasó. Lo último que recuerdo fué la luz intermitente de mi pendrive y un fichero comprimido en rar dentro de una carpeta con un nombre muy sugerente: malware.

Leer más...

domingo, 13 de septiembre de 2009

About malware

Interesantes lecturas acerca de malware. Primero desde la web de hakin9 hay disponible para descarga un número especial, "Hakin9 best of", completamente gratuito previa suscripción al boletín de noticias. Tres artículos dedicados al análisis de malware de la mano de Jason Carpenter, además de otras lecturas no menos recomendables.

Por último, y ahora de la mano de Wesley McGrew, una presentación complementaria al material utilizado para el CSE 4243/6243 Information and Computing Security class.

¡Que aproveche!

Correción 21/09/2009:

Me temo que me precipité con lo de la disponibilidad de la edición especial de hakin9. El fichero que estaba disponible únicamente contenía las primeras páginas de la publicación, además de que a fecha de hoy parece ya no estarlo. Sin embargo sí merece la pena mencionar que la editorial libera muchos de sus artículos publicados pasados unos meses de su aparición en la edición impresa.

Mi más sinceras disculpas.

Leer más...

lunes, 24 de agosto de 2009

Ensayo acerca del tiempo

Parece que rompí la promesa y ahora mismo estoy de vacaciones sentado delante de mi teclado. El motivo, pensar un poco en el tiempo, más concretamente, en la importancia de las líneas de tiempo, (a.k.a. timeline).

Leer más...

domingo, 9 de agosto de 2009

RegRipper + XP Restore Points = ripXP

Para luchar con el calor no hay nada como ponerse delante del ordenador (modo irónico), pero como que también es una forma de distraerse y todavía no estoy de vacaciones, con la consecuente promesa de "lo más cerca de un PC 30 mts", pues allá que me he puesto.

Surgida después de una charla entre Rob Lee (el que tuvo la idea) y Harlan Carvey (el que la llevó a la práctica) nació esta potente herramienta. Se trata de explotar la capacidad cronologica que ofrecen los puntos de restauracion de XP para, de esta forma, obtener una línea de tiempo donde los hechos se corresponderán con las modificaciones ocurridas en un sistema, utilizando como fuente los ficheros del registro de Windows.

Leer más...

domingo, 19 de julio de 2009

Pequeñas pero muy útiles

Pues nada, un lista de herramientas, muy específicas, pero que pueden resultar de gran ayuda tanto si practicamos como si tan solo tratamos de aprender un poquito.

Leer más...

jueves, 2 de julio de 2009

Modificando Volatility

Animado por la presentación de Andreas Schuster, y "copiando" una de las modificaciones sugeridas vamos a empezar a pegarnos con los fuentes.

Leer más...

Volatility vs Andreas Schuster

A nadie que ande medio interesado por este mundillo le resultará desconocido el señor Andreas Schuster, creador de ptfinder, entre otras, y varios plugins de volatility. Enfocado principalmente en el análisis de la memoria de sistemas Windows, en cada uno de los mensajes de su blog destila saber hacer y, lo que para mí es más difícil, consigue hacer entender.

Pues bién, via blog de Moyix, me entero de que acaba de liberar la presentación que ha utilizado en sus charlas dentro de las conferencias FISRT de este mismo año, "Windows Memory Forensics with Volatility".

A lo largo de sus páginas comenzaremos por una introduccion a la teoría fundamental sobre la que se sustenta actualmente el análisis de la memoria, incluyendo las diferentes técnicas de adquisición y análisis de volcados. Seguiremos con una lección teórico/práctica sobre el uso de Volatility y terminaremos con unas breves pinceladas acerca del desarrollo de plugins para este potentísimo framework.

Sin duda un material más que recomendable, además de que me viene que ni pintado ya que, por casualidades del destino, había empezado a indagar por esos derroteros :-)

Leer más...

sábado, 27 de junio de 2009

Portable Ubuntu Remix, linux en un pendrive

Ya todos conocemos, o al menos deberíamos, a Cygwin. Me cito a mí mismo:

"Es algo así como un traductor, de forma que todas las llamadas del API de Linux son trasladadas y ejecutadas como llamadas del API de Windows. El componente principal lo conforma la libreria cygwin1.dll, la cual es responsable de proporcionar dicha traducción y, por lo tanto, permitir la ejecución de programas Linux en un sistema Windows".

También todos conocemos, o de nuevo, deberíamos, a VMware Server. Se trata de un hypervisor de tipo 2 que nos permite lanzar casi cualquier sistema operativo que se nos ocurra virtualizado sobre nuestra instalación física de Windows/Linux.

Cada una de las opciones anteriores tiene sus ventajas y sus desventajas, así como cada uno cubre los distintos "campos de batalla". Pues ahora le ha tocado el turno a Portable Ubuntu Remix, que no sea por falta de opciones.

Leer más...

lunes, 22 de junio de 2009

Pyflag, instalación

Animado por Pedro Sanchez, y en respuesta a su caja de herramientas para Windows, se me ocurrió probar una alternativa a las funcionalidades de Encase para sistemas Linux, y hete aquí que le ha tocado el turno a PyFlag.

Para utilizar PyFlag necesitaremos varios paquetes, la mayoría interesantes herramientas por sí mismas. En este artículo comenzaremos con el proceso de instalación de todas ellas en un sistema Ubuntu 9.0.4.

Leer más...

martes, 26 de mayo de 2009

Malware, malware y más malware

Varias releases y noticias sobre malware, que parece que vienen todas juntas.

Si hace apenas unos días comentábamos la aparición de un módulo de python que permitía debuggear aplicaciones win32 bajo Windows, esta misma tarde me encuentro gratas noticias a través del blog de Michale Hale Ligh. Autor del plugin malfind.py para el framework Volatility, es, sin duda, toda una autoridad en el campo del análisis de malware.

Leer más...

domingo, 24 de mayo de 2009

Interesante trabajo sobre el registro de Windows

Via blog de Moyix descubro un interesante y completo material relativo a la estructura, contenido y recuperación de fragmentos del registro de Windows.

Se trata de la master thesis de Peter Norris, "The Internal Structure of the Windows Registry", y el material está disponible para descarga desde la siguiente dirección.

¡A leer toca!

Leer más...

miércoles, 20 de mayo de 2009

WinAppDbg v1.1 is out!

Esta vez prometo no dejarme llevar por mi pluma, ¿o debería decir mejor mi teclado?, y en esta entrada únicamente me haré eco de la release de un módulo de python a priori bastante interesante.

Se tata de winAppDbg y su mayor atractivo es la posibilidad de utilizarlo en nuestros propios scripts para implementar tareas de debugging de aplicaciones win32. ¿Resultará interesante como 'framework' para análisis de malware?, sólo el tiempo dirá.

Leer más...

sábado, 9 de mayo de 2009

Análisis de un caso ¿real?, #2

Esperemos romper con el tópico de que nunca segundas partes fueron buenas ...

Parece que le estoy pillando el gusto a esto del análisis de la memoria. Y gracias que existe gente como Hogfly, el cual pone a disposición de cualquier interesado volcados de la memoria física de sistemas ejecutando malware. Así podré jugar un rato a ver si aprendo algo.

Leer más...

lunes, 13 de abril de 2009

Utilizando dd en Linux

Sin duda uno de los programas open source más utilizados y nombrados en el mundo del análisis forense sea el binario dd. Esta pequeña utilidad nos vá a permitir realizar un duplicado exacto bit a bit de un medio de almacenamiento cualquiera. A lo largo de este artículo vamos a analizar las funcionalidades que nos ofrece y veremos algunos trucos básicos que pueden resultarnos de utilidad.

Leer más...

jueves, 2 de abril de 2009

Mozilla Firefox 3: análisis del historial

No cabe duda que en los últimos tiempos el navegador Mozilla Firefox está arrebatando gran parte de la cuota de mercado al hasta ahora omnipresente Internet Explorer. No voy a entrar a valorar los motivos de esta rápida ascensión, al igual que no voy a discutir acerca de la seguridad que acredita éste o aquel; baste subrayar que, desde mi punto de vista y como sucede con todo, cada uno tiene sus cosas buenas y sus cosas malas.

Una vez aclarado este punto sigamos con el siguiente. Voy a intentar a lo largo de esta entrada analizar los rastros derivados del uso habitual de la última versión disponible para este popular navegador (la 3 en el momento de escribir estas líneas), pero voy a intentar también minimizar el uso de herramientas de terceros. Entiéndase esto no con la intención de desaconsejar su utilización, sino mas bién al contrario, además de conseguir evitar el tener que atarnos a una plataforma de análisis concreta.

Leer más...

domingo, 22 de marzo de 2009

Análisis de un caso ¿real?

Todos los personajes, lugares, acciones y conversaciones narradas a continuación no son reales, existen o han tenido lugar en otro sitio que no sea la imaginación del que suscribe estas líneas, el cual no se siente responsable de las opiniones, reacciones o ideas vertidas, pues, a fín de cuentas, suceden únicamente en su ficción, ¿o tal vez no?

Leer más...

miércoles, 18 de marzo de 2009

Tuneando Volatility

Ya todos conocemos el framework Volatility, un potentísima herramienta que permite el análisis de volcados de memoria de sistemas Windows XP (32bits) Service Pack 2 y 3. También sabemos de la existencia de numerosos plugins que extienden su funcionalidad añadiéndole nuevas y potentes características.

Pues bién, de eso trata este artículo, de los plugins disponibles y el proceso de instalación de los mismos así como intentar centralizar la información referente a cada uno de ellos.

Leer más...

domingo, 8 de marzo de 2009

RegRipper

En la última entrada vimos como en este momento ya es posible ejecutar Volatility y RegRipper de forma combinada, permitiendo así obtener gran cantidad de información relacionada con las claves del registro cargadas en memoria. Ha llegado el momento de analizar la funcionalidad ofrecida por RegRipper como herramienta independiente.

Esta herramienta, desarrollada por Harlan Carvey, permite parsear diferentes claves del registro de forma offline, mostrando los resultados en un formato comprensible y que puede ser integrado de forma sencilla con el resto de informes generados durante una investigación forense de un sistema Windows.

Leer más...

lunes, 2 de marzo de 2009

Volatility y RegRipper, ¡juntos!

Acabo de enterarme hoy de la noticia, y como no, tenía que probarlo por mí mismo. Creo que conocemos de sobra el framework Volatility, pero para los que no lo conozcan decir que se trata de un entorno de análisis escrito en Python que permite examinar volcados de la memoria de Windows en formato raw.

El otro componente del tándem es RegRipper, del que todavía no hemos hablado nada pero del que estoy preparando un artículo que espero tener listo muy pronto. A modo de resumen decir que se trata de un script en perl desarrollado por Harlan Carvey que facilitará el análisis del registro de Windows de forma offline.

Ahora imaginad que juntamos las capacidades de ambos, ¡podríamos analizar y obtener información de las diferentes claves del registro contenidas en una imagen de la memoria de un sistema Windows!

Pues bien, gracias a Brendan Dolan-Gavitt (aka Moyix), esto ya es posible. Indicar que yo no he descubierto nada, unicamente me he limitado a probarlo y contarlo a lo largo de estas lineas. Para obtener detalles técnicos acerca del proceso y las modificaciones en el código necesarias recomiendo leer detenidamente el artículo original.

Leer más...

lunes, 23 de febrero de 2009

Cosas que ver en /proc

El sistema de ficheros /proc de Linux no es un sistema de ficheros normal. En su lugar se trata de un sistema de ficheros virtual, de forma que todo su contenido no existe físicamente en el disco, sino que habita únicamente en la memoria RAM del sistema.

A lo largo de las siguientes líneas vamos a analizar su contenido centrándonos básicamente en los ficheros y directorios que puedan ser de utilidad en un proceso de respuesta ante incidentes.

El sistema operativo que he utilizado para todas las pruebas es una Fedora Core 10, la cual dispone de un kernel 2.6.27, pero los resultados no deberían variar considerablemente para otras distribuciones, al menos para las que ejecuten un kernel 2.6.

Leer más...

martes, 17 de febrero de 2009

PTK, primeras impresiones

A raíz de este hilo, desarrollado en las tierras de Wadalbertia, renació mi interés por una herramienta que llevaba algún tiempo en mi lista de "juegos", PTK. Se trata de una interfaz web para el uso de los binarios que conforman el sleuthkit. Y quizás algunos os preguntaréis, ¿qué necesidad había si esa funcionalidad ya estaba cubierta por autopsy?

Eso mismo era lo que yo me preguntaba, pero después de probarla y analizarla un poco más a fondo he aprendido a valorarla tal y como se merece, y de eso trata este artículo, de las nuevas características y funcionalidades ofrecidas por PTK, que son muchas y muy potentes.

Sirva como pequeña introducción al uso de las herramientas sleuthkit y autopsy el siguiente documento, el cual escribi hace ya algun tiempo.

Leer más...

domingo, 8 de febrero de 2009

Data carving

Segun la definición del dfrws2006 el data carving sería:

"el proceso de extraer una serie de datos de un gran conjunto de datos. La técnica de data carving se utiliza habitualmente durante una investigación digital cuando se analiza el espacio no ubicado de un sistema de ficheros para extraer archivos. Los archivos son 'desenterrados' del espacio no ubicado utilizando valores para las cabeceras y piés específicos del tipo de archivo. Las estructuras manejadas por el sistema de ficheros no son tenidas en cuenta durante el proceso"

Tal y como se desprende de la anterior definición, un concepto estrechamente relacionado con el data carving sería el de cabecera y pié de fichero. Los ficheros que maneja cualquier sistema operativo no son mas que bloques de datos binarios con un formato determinado. Los ficheros pueden o no tener una extensión (p.e. txt) que se utiliza para identificar el tipo de fichero de que se trata, pero este no es un dato determinante. En su lugar, el tipo de fichero puede identificarse inequívocamente analizando lo que se conoce como magic numbers.

Leer más...

sábado, 24 de enero de 2009

Windows 7 Beta y la clave UserAssist

La clave UserAssist del registro de Windows contiene valiosa información que nos ayudará a desvelar gran parte de las acciones realizadas por un usuario en el sistema. Dicha clave es particular para cada cuenta por lo que los datos almacenados serán diferentes en función del usuario que haya iniciado la sesión.

Hasta el momento los datos almacenados se encontraban cifrados, utilizando para ello el método ROT-13. Didier Stevens publicó en su momento una valiosa herramienta la cual nos mostraba el contenido de dicha clave, una vez descifrados los datos, y en un formato amigable para el investigador. Puede consultarse más información sobre el registro en general y la clave UserAssist en particular en mi documento publicado en los foros de Wadalbertia.

Pues bién, tal y como Didier Stevens ha descubierto y publicado, para Windows 7 Beta el algoritmo de cifrado ROT-13 ha sido sustituido por Vigenère, y la clave utilizada para el cifrado, y también descubierta por Didier Stevens, se repite para todas las instalaciones analizadas hasta el momento.

Leer más...

jueves, 15 de enero de 2009

Análisis de la funcionalidad "Restaurar sistema"

No hace mucho que analizamos el uso de las "Volume Shadow Copy" en Windows Vista y sus implicaciones relativas al análisis forense de sistemas. Bién, pues ahora analizaremos la funcionalidad "Restaurar sistema" implementada en Windows XP.

La herramienta es accesible desde el entorno gráfico accediendo al menú Inicio, Programas, Accesorios, Herramientas del sistema, Restaurar sistema o desde línea de comandos utilizando el siguiente binario:

%systemroot%\system32\restore\rstrui.exe

Dicha funcionalidad fué incluida por primera vez en Windows ME y se basa en la copia y almacenamiento de todos aquellos ficheros que resulten modificados y que hayan sido configurados para ser monitorizados por el sistema.

Leer más...

lunes, 12 de enero de 2009

Porqué nació este blog

Esto es más que un offtopic, pero me apetece escribir, y sin duda éste es un tema tan bueno como cualquier otro para ello.

Cuando empecé a escibir mi propio blog llevaba ya algún tiempo planteándomelo, pero no pensaba, y desde luego en muchas ocaciones sigo haciéndolo, estar lo suficientemente capacitado para ello. He puesto mucha ilusión en él y, quizás de forma egoista, la principal razón, y la que me llena de satisfacción cada vez que publico una nueva entrada, es la posibilidad de seguir aprendiendo y, a la vez, enseñar lo que he aprendido a otros. Sin duda existen otras razones más mundanas como, por ejemplo, la de darme a conocer para, quien sabe si algun día, poder dedicarme profesionalmente a trabajar como analista forense, pero en este momento están en un segundo plano.

Leer más...

jueves, 8 de enero de 2009

Nueva versión de win32dd

Matthieu Suiche ha liberado hace algunos días una nueva versión de su magnífica herramienta, win32dd, la cual permite realizar volcados de la memoria física de sistemas Windows.

Leer más...

lunes, 5 de enero de 2009

Servicio Volume ShadowCopy en Windows Vista

NOTA: Este articulo esta basado enteramente en "VISTA Shadow Volume Forensics", una de las entradas publicadas en el blog de analisis forense de SANS.

Se trata de un servicio, habilitado por defecto con la instalación predeterminada de Windows Vista, y que constituye la base para su sistema de disaster recovery. Dicho sistema se basa en la creación, ya sea de forma manual o automática, de copias de seguridad y puntos de restauración del sistema, sin que para ello sea necesario obtener acceso exclusivo a los ficheros que se desean respaldar.

Esta funcionalidad se introdujo por primera vez con Windows XP, pero el auténtico predecesor del sistema utilizado por Vista proviene de Windows 2003 Server. No obstante en este artículo únicamente analizaremos las características relativas a Windows Vista.

Nótese que un requisito imprescindible para poder ejecutar el servicio es que el volumen en el cual se haya configurado esté formateado con el sistema de ficheros NTFS.

Leer más...