Análisis forense

Ser curioso NO es una opción (#USBOblivion ¿Una herramienta #Antiforense?) – Parte VI

Hola secuaces:

Continuamos con la sexta parte de esta serie de entradas dedicada a mi primera vez, a la charla de este Rookie, (Espero que no sea la última), en #CONPilar17  y en #EastMadH4ck.

Y ahora nos adentramos en el maravilloso mundo de los ficheros eliminados.

Pero, antes de empezar, volvemos retomar esos Timeline que hemos generado anteriormente, y vamos a tener en cuenta y muy presente el día y hora de ejecución de esta fantástica herramienta «antiforense».

Ejecutada el día 16 de diciembre, a las 07:07:00 horas.

Y ahora sí que sí. Empezamos.

¿Elimina el fichero «setupact.log»?

Lo buscamos en el sistema que tenemos montado cuando identificamos la Evidencia, mediante ‘ls

ls Windows/setupact.log

Y obtenemos… Nada. No existe. Pero ¿Cuándo ha sido eliminado?

Recurrimos a la Línea Temporal y lo buscamos ahí.

Eliminado el día 16 de diciembre, a las 06:49:29 horas. Unos minutos antes de la ejecución de la herramienta, por lo que no lo ha eliminado la herramienta.

No importa cuando haya sido eliminado, porque vamos a proceder a localizarlo y a extraerlo del fichero de imagen usando, para ello, otra utilería de TSK, (The Sleuth Kit). Concretamente, vamos a usar ‘fls‘ para localizar el espacio, la ubicación del fichero, dentro del disco duro, e ‘icat‘ para extraer dicho fichero a través de su localización.

fls -f ntfs -o 206848 -rd IncidenteFuga.dd | grep setupact.log

icat -r -o 206848 IncidenteFuga.dd 16310-128-3 > setupact.log

ls -l setupact.log

wc setupact.log

¿Eliminar el fichero «setuperr.log»?

Igual que antes, lo buscamos a través de ‘ls’

ls Windows/setuperr.log

Sin obtener ningún resultado.

Pero ¿Cuándo ha sido eliminado?

Recurrimos, de nuevo, a la Línea Temporal

Y podemos ver que ha sido eliminado el día 12 de diciembre, a las 03:21:30 horas. Por lo que no lo ha eliminado esta herramienta.

Lo localizamos a través de ‘fls’

fls -f ntfs -o 206848 -rd IncidenteFuga.dd | grep setuperr.log

Lo extraemos a través de ‘icat’.

icat -r -o 206848 IncidenteFuga.dd 58687-128-1 > setuperr.log

ls -l setuperr.log

wc setuperr.log

En este caso, está vacío.

¿Elimina el fichero «setupapi.app.log»?
Lo buscamos a través de ‘ls’

ls Windows/inf/setupapi.app.log

Sin obtener ningún resultado.

Pero ¿Cuándo ha sido eliminado? Recurrimos al Timeline

Y podemos ver que ha sido eliminado el día 15 de diciembre, a las 21:24:11 horas. Tampoco ha eliminado este fichero la herramienta.

Procedemos a su localización, a través de ‘fls’

fls -f ntfs -o 206848 -rd IncidenteFuga.dd | grep setupapi.app.log

Y lo extraemos haciendo uso de ‘icat’

icat -r -o 206848 IncidenteFuga.dd 20171-128-4 > setupapi.app.log

ls -l setupapi.app.log

wc setupapi.app.log

¿Elimina el fichero «setupapi.dev.log»?

Lo buscamos, con ‘ls’

ls Windows/inf/setupapi.dev.log

Vemos que está disponible. Hacemos ahora uso de ‘stat‘, para ver sus marcas de tiempo, su timestamp.

stat Windows/inf/setupapi.dev.log

Podemos ver que ha sido accedido y modificado el día 16 de diciembre, a las 07:09:16 horas y a las 07:09:29 horas, respectivamente.

¿Cuándo ha sido creado? Tiramos de Línea temporal y

Vemos que ha sido creado el día 16 de diciembre, a las 07:09:16 horas.

Y anteriormente, ¿Cuándo ha sido eliminado? Nuevamente, Línea temporal

Y podemos ver que ha sido eliminado el día 16 de diciembre, a las 07:04:36 horas. Si recordáis bien, la herramienta no fue ejecutada hasta las 07:07:00 horas, por lo que este fichero, tampoco lo ha eliminado dicha herramienta.

Y ¿Cuándo se volvió a crear este fichero? Cuando se conectó el disco duro externo Intenso, con el que se intervino en el Sistema.

Procedemos a su localización, a través de ‘fls’

fls -f ntfs -o 206848 -rd IncidenteFuga.dd | grep setupapi.dev.log

Y lo extraemos con ‘icat’

icat -r -o 206848 IncidenteFuga.dd 58785-128-6 > setupapi.dev.log

ls -l setupapi.dev.log

wc setupapi.dev.log

Como podemos ver, este fichero está vacío.

Si nos dirigimos al mismo fichero «setupapi.dev.log» que tenemos montado en el laboratorio forense, y procedemos a su interpretación, a través de ‘strings‘, podemos ver algunos resultados.

strings /mnt/windows_mount/Windows/inf/setupapi.dev.log | grep ‘ Device Install’

En este caso, los datos aquí reflejados se corresponden como hemos mencionado anteriormente, al disco duro Intenso.

¿Elimina el fichero «setupapi.offline.log»?

Lo buscamos haciendo uso de ‘ls’

ls Windows/inf/setupapi.offline.log

Sin obtener ningún resultado.

Pero ¿Cuándo ha sido eliminado? Recurrimos a buscarlo en la Línea Temporal

Y podemos ver que ha sido eliminado el día 12 de diciembre, a las 03:21:22 horas, por lo que tampoco lo ha eliminado la herramienta «antiforense».

Lo localizamos a través de ‘fls’

fls -f ntfs -o 206848 -rd IncidenteFuga.dd | grep setupapi.offline.log

Y lo extraemos con ‘icat’.

icat -r -o 206848 IncidenteFuga.dd 58629-128-4 > setupapi.offline.log

ls -l setupapi.offline.log

wc setupapi.offline.log

 ¿Elimina el fichero «INFCACHE.1»? Aunque no lo menciona durante su ejecución, sí lo hace en su código. Lo buscamos a través de ‘ls’.

ls -l Windows/System32/DriverStore/INFCACHE.1

Y vemos que se encuentra en el sistema.

Podemos visualizar su información a través de ‘xxd‘, por ejemplo.

xxd Windows/System32/DriverStore/INFCACHE.1 > /home/marcos/Evidencias/INFCACHE

Y hasta aquí, el maravilloso mundo de los ficheros eliminados.

 

Os pongo por aquí, como el que no quiere la cosa, el vídeo a mi exposición 😉

Esto es todo, por ahora. Nos leemos en la siguiente entrada. Se despide este minion, entregado y leal, de vosotros… por ahora.

Marcos @_N4rr34n6_

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Los datos introducidos se guardarán en nuestra base de datos como parte del comentario publicado, como se indica en la política de privacidad.