25 ago. 2015

Adquisición de evidencias en un entorno comprometido

Hoy en día nos podemos encontrar estas situaciones a la hora de obtener información de uno o varios equipos:
  1. El equipo se encuentra encendido.
  2. El equipo se encuentra apagado.
  3. El equipo es virtualizado.
  4. El equipo se encuentra en la nube.

1.- EQUIPO ENCENDIDO

Si estamos en esta situación aplicaremos el siguiente axioma. Si esta encendido no apagadlo. Si está apagado no encenderlo. Una vez clarificado esta acción procederemos a tomar las siguientes evidencias (a grandes rasgos y no importa el orden).
  • Volcado de la memoria ram
  • Obtención del archivo pagefile.sys
  • Obtención del NTUSER.DAT
  • Prefetch
  • Procesos, sesiones, conexiones, tareas, políticas, configuración de red, protocolos...
  • Ficheros del registro (SAM, SECURITY, SOFTWARE...)
  • Ficheros de Logs de windows
  • etc...
Las herramientas que utilizaremos no podrán ser intrusivas ni llevar instalación (es preferible que sean portables) y normalmente dispondremos de un disco duro externo con dos particiones, una de ellas con los programas y la otra para volcar los resultados.

Una vez lo hemos obtenido tiraremos del cable de alimentación apagando el equipo de forma abrupta y nunca lo haremos de forma ordenada ya que puede haber algún programa o proceso que elimine información precisa y necesaria. Si se trata de un portátil quitaremos la batería.

2.- EQUIPO APAGADO

Perdemos la volatilidad, es decir todo aquello que esta en ram. Aun así es una buena forma y se obtiene mucha información.

Procederemos directamente a la realización del clonado. Una vez realizado buscaremos evidencias como:
  • Prefetch
  • Datos de navegación
  • Temporales
  • Pagefile.sys (si está disponible)
  • Registro de windows
  • Perfiles del usuario
  • Ficheros borrados
  • etc...
Es importante tener en cuenta las herramientas de clonado. Con un cd-live tardaremos en clonar una eternidad al contrario de hacerlo con una clonadora.

3.- EQUIPO VIRTUAL

Otra de las mejores formas, se le pide al administrador de sistemas que nos haga un clonado virtual y listo. Dispondremos de múltiples formas de buscar evidencias según hemos visto en el punto 1 y 2.

4.- EQUIPO EN LA NUBE

Complicado el tema, ya que dependemos del proveedor y las políticas que hayamos aceptado.

Cuando no tenemos acceso a poder instalar nada por la causa de que el hosting en la nube sea compartido con otros clientes o bien este distribuido por medio de paneles de administración la cosa se complicara. Para ello hay que solicitar una entrega de datos (lo cual perderemos la obtención de datos eliminados) o bien un clonado (si el equipo es en propiedad).

Ambas formas y dependiendo del tipo de caso que estemos tratando tienen que ser bajo requerimiento judicial (vamos que las tiene que solicitar un juez.)

Contenido completo en fuente original Conexión Inversa I y II

1 comentario:

  1. Muy buen artículo! Gracias por compartir la info!

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!