Adquisición de evidencias en un entorno comprometido
Hoy en día nos podemos encontrar estas situaciones a la hora de obtener información de uno o varios equipos:
Una vez lo hemos obtenido tiraremos del cable de alimentación apagando el equipo de forma abrupta y nunca lo haremos de forma ordenada ya que puede haber algún programa o proceso que elimine información precisa y necesaria. Si se trata de un portátil quitaremos la batería.
Procederemos directamente a la realización del clonado. Una vez realizado buscaremos evidencias como:
Cuando no tenemos acceso a poder instalar nada por la causa de que el hosting en la nube sea compartido con otros clientes o bien este distribuido por medio de paneles de administración la cosa se complicara. Para ello hay que solicitar una entrega de datos (lo cual perderemos la obtención de datos eliminados) o bien un clonado (si el equipo es en propiedad).
Ambas formas y dependiendo del tipo de caso que estemos tratando tienen que ser bajo requerimiento judicial (vamos que las tiene que solicitar un juez.)
Contenido completo en fuente original Conexión Inversa I y II
- El equipo se encuentra encendido.
- El equipo se encuentra apagado.
- El equipo es virtualizado.
- El equipo se encuentra en la nube.
1.- EQUIPO ENCENDIDO
Si estamos en esta situación aplicaremos el siguiente axioma. Si esta encendido no apagadlo. Si está apagado no encenderlo. Una vez clarificado esta acción procederemos a tomar las siguientes evidencias (a grandes rasgos y no importa el orden).- Volcado de la memoria ram
- Obtención del archivo pagefile.sys
- Obtención del NTUSER.DAT
- Prefetch
- Procesos, sesiones, conexiones, tareas, políticas, configuración de red, protocolos...
- Ficheros del registro (SAM, SECURITY, SOFTWARE...)
- Ficheros de Logs de windows
- etc...
Una vez lo hemos obtenido tiraremos del cable de alimentación apagando el equipo de forma abrupta y nunca lo haremos de forma ordenada ya que puede haber algún programa o proceso que elimine información precisa y necesaria. Si se trata de un portátil quitaremos la batería.
2.- EQUIPO APAGADO
Perdemos la volatilidad, es decir todo aquello que esta en ram. Aun así es una buena forma y se obtiene mucha información.Procederemos directamente a la realización del clonado. Una vez realizado buscaremos evidencias como:
- Prefetch
- Datos de navegación
- Temporales
- Pagefile.sys (si está disponible)
- Registro de windows
- Perfiles del usuario
- Ficheros borrados
- etc...
3.- EQUIPO VIRTUAL
Otra de las mejores formas, se le pide al administrador de sistemas que nos haga un clonado virtual y listo. Dispondremos de múltiples formas de buscar evidencias según hemos visto en el punto 1 y 2.4.- EQUIPO EN LA NUBE
Complicado el tema, ya que dependemos del proveedor y las políticas que hayamos aceptado.Cuando no tenemos acceso a poder instalar nada por la causa de que el hosting en la nube sea compartido con otros clientes o bien este distribuido por medio de paneles de administración la cosa se complicara. Para ello hay que solicitar una entrega de datos (lo cual perderemos la obtención de datos eliminados) o bien un clonado (si el equipo es en propiedad).
Ambas formas y dependiendo del tipo de caso que estemos tratando tienen que ser bajo requerimiento judicial (vamos que las tiene que solicitar un juez.)
Contenido completo en fuente original Conexión Inversa I y II
Muy buen artículo! Gracias por compartir la info!
ResponderBorrar