Buenas compañeros,
Con eso de que uno cumple años xd he querido regalaros esta entrada que sigue el hilo de la anterior para tener una toma de contacto con el mundo del análisis forense. Este post se centra en el proceso de adquisición de evidencias «en caliente» para adquirir la memoria RAM de un ordenador. Del mismo modo, se van a explicar los pasos a seguir para su posterior análisis.
Este proceso está relacionado con la labor profesional de un perito informático al que le solicitan el análisis de un equipo debido a que ha sido infectado por un malware o un empleado descontento que está extrayendo información confidencial.
El motivo de llamarse una adquisición en caliente está relacionado con la memoria volátil y no volátil. La memoria RAM sólo se puede adquirir mientras el ordenador se encuentra encendido, una vez apagado es imposible.
Bueno vamos al lio!
Para realizar el volcado de memoria se pueden emplear dos herramientas: DumpIt y FTK Imager. En este caso se ha empleado la suite FTK Imager.
Para simular un caso real se ha empleado un disco duro con todas las herramientas que se van a utilizar. Esta buena práctica se emplea para evitar la modificación de la RAM con la ejecución de los programas del PC, así como no sé sabe si dichos programas han sido modificados para que se obtengan resultados predeterminados.
En el caso de emplear DumpIt se realizaría desde la consola de Windows:
A continuación, se observa FTK Imager, que fue el software empleado:
También se cuenta con el plugin pstree para representar la ejecución de programa en forma de árbol.
Finalmente, se puede también obtener el historial de navegación del navegador web que se encontraba en ejecución en el momento de la adquisición de memoria.
Sin embargo, hace falta la instalación de dos plugins especiales (los plugins para IE si los tiene por defecto, pero sinceramente todos sabemos que IE se autodestruye al abrirse xd). Volatility no trae en la instalación estos plugins. Por ello, son necesarios los plugins:
– Firefoxhistory
– Firefoxcookies
– Firefoxdownloads
Buscando en Internet es fácil encontrar el código de los mismos. Adicionalmente, es necesario el
plugin sqlite_help pues tiene dependencia con los dos anteriores.
Si en el PC que se va analizar tuviera abierto Firefox, con el siguiente comando se exportaría las urls que tuviera abiertas en ese momento así como todas las descargas que hubiera hecho y el historial de sitios web vistos:
Tal que viendo el fichero exportado:
Ya por último, citar que Volatility cuenta con una interfaz gráfica para los que no les mole las ventanas de comando y prefieran tirar de botón rojo xd. Se llama VOLIX II, sin embargo, no contiene todos los plugins y además sólo captura la navegación para IE.
Así que eso es todo, espero que os sea útil y para cualquier duda, comentario, queja o agradecimiento xd no dudéis en escribir un comentario.
Saludos.
NaxHack5
«La mejor defensa es un buen ataque»