Análisis Forense utilizando Linux

Alonso Eduardo Caballero Quezada

Instructor y Consultor en Hacking Ético & Forense Digital

Sitio Web: www.reydes.com / Correo Electrónico: reydes@gmail.com

29 de Mayo del 2019 Perú

Alonso Eduardo Caballero Quezada

EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures, Pen Testing y Basic Technology Certificate Autopsy Basics and Hands On.

Instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú.

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero

https://www.facebook.com/alonsoreydes/ http://www.reydes.com

https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

¿Qué es GNU/Linux?

GNU/Linux

Linux es el núcleo: el programa del sistema encargado de asignar los recursos de la máquina a los demás programas ejecutados por el usuario. El núcleo es una parte esencial de un sistema operativo, pero inútil por sí mismo, sólo puede funcionar en el marco de un sistema operativo completo. Linux se utiliza normalmente en combinación con el sistema operativo GNU: el sistema completo es básicamente GNU al cual se le ha añadido Linux, es decir, GNU/Linux. Todas las distribuciones denominadas "Linux" son en realidad distribuciones GNU/Linux.

Muchos usuarios no entienden la diferencia entre el núcleo, lo cual es Linux y el sistema completo, al cual también llaman "Linux". Su uso ambiguo no ayuda a comprenderlo. Se piensa Linus Torvalds, con un poco de ayuda, desarrolló el sistema operativo completo en 1991.

* Linux y el sistema GNU: https://www.gnu.org/gnu/linux-and-gnu.es.html

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

GNU/Linux

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

* Distro Watch: https://distrowatch.com/

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

¿Qué es Ubuntu Linux?

Ubuntu Linux

Ubuntu es un sistema operativo de software libre y código abierto. Es una distribución de Linux basada en Debian. Actualmente corre en computadores de escritorio y servidores.

Está orientado al usuario promedio, con un fuerte enfoque en la facilidad de uso y en mejorar la experiencia del usuario.

Está compuesto de múltiple software normalmente distribuido bajo una licencia libre o de código abierto. Estadísticas web sugieren la cuota de mercado de Ubuntu dentro de las distribuciones Linux es, aproximadamente del 52 %, con una tendencia a aumentar como servidor web.

* Ubuntu: https://ubuntu.com/* Debian: https://www.debian.org/

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Ubuntu Linux

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

¿Qué es SIFT Workstation?

SIFT WorkStation

La estación de trabajo SIFT está constituida de un grupo de herramientas open source libres, para realizar respuesta de incidentes y forense digital, siendo diseñado para realizar análisis forenses digitales detallados en una diversidad de escenarios.

SIFT puede ser utilizado como cualquier suite de herramientas para respuesta de incidentes y forense digital. Demuestra las capacidades avanzadas para respuesta de incidentes, y las técnicas forenses digitales profundas, las cuales pueden realizarse utilizando herramientas open source de última generación, las cuales están disponibles libremente y se actualizan frecuentemente.

* SIFT Workstation: https://digital-forensics.sans.org/community/downloads

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Características de SIFT

Es exitosamente utilizado en respuesta de incidentes y forense digital, y está disponible libremente como servicio público. Continúa siendo la herramienta open source más popular de este tipo

● Basado en Ubuntu LTS 16.04● Sistema base de 64 bits● Mejor utilización de memoria● Actualización automática de paquetes DFIR y personalizaciones● Las últimas herramientas y técnicas forenses● Disponible una VM listo para trabajar en forense● Compatibilidad cruzada entre Linux y Windows● Opción para instalar un sistema autónomo mediante un instalador

“SIFT-CLI”● Documentación del proyecto● Soporte ampliado para sistemas de archivos* SIFT Documentation: http://sift.readthedocs.io/en/latest/

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Herramientas en SIFT

● log2timeline (Herramienta para generar cronologías)● Rekall Framework (Análisis de memoria)● Volatility Framework (Análisis de memoria)● Plugins para Volatily de 3eros● bulk_extractor● autopsy● lightgrep● Log2timeline● Plaso● Qemu● regripper and plugins● SleuthKit● afflib, afflib-tools, ClamAV, dc3dd, imagemounter, libbde, libesedb,

libevt, libevtx, libewf, libewf-tools, libewf-python, libfvde, libvshadow

● Más de 100 herramientas.

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Ejemplos de Análisis Forense utilizando SIFT (Linux)

Memoria RAM

La memoria del sistema es el espacio de trabajo para el sistema operativo. Lo utiliza para colocar los datos necesarios para ejecutar programas, como también los programas por si mismos.

Esta es la razón por la cual es muy importante para el forense digital, adquirir la memoria del sistema. Pues el analizar la memoria puede revelar la existencia de procesos maliciosos, o programas los cuales no dejan rastros en el dispositivo de almacenamiento de la máquina (discos duros).

La memoria también puede contener las conexiones de red abiertas, lo cual podría corresponder a las direcciones IP de los atacantes, quienes tal vez están robando datos o controlando la máquina remotamente.

Existen diversos elementos de evidencia factibles de ser obtenidas.

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Análisis al Registro de Windows

El registro puede ser considerado como una base de datos estructurada de Windows. Contiene las configuraciones y ajustes del sistema operativo, además contiene los ajustes de los servicios en funcionamiento y aplicaciones instaladas, con las preferencias de los usuarios.

No es obligatorio para las aplicaciones instaladas utilizar el registro de Windows para almacenar sus configuraciones o ajustes. Algunos programas utilizan archivos XML o archivos de texto para este propósito.

El análisis al registro del Windows en el proceso forense digital, es una fuente valiosa de información evidencial para los investigadores. Pues los rastros obtenidos desde aquí pueden ayudar a entender las circunstancias de los incidentes bajo investigación.

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Recuperación de Archivos

Si un usuario formatea una partición; por ejemplo en un sistema de archivos NTFS, algunos sectores al inicio de la partición serán reservadas para el MFT.

El MFT contiene los metadatos sobre los archivos en el sistema. Cada entrada tiene un tamaño de 1KB, y cuando el usuario borra un archivo, la entrada del archivos en la MFT se marca como no asignada. Aunque la información del archivo sigue existiendo, hasta otro archivo utilice esta entrada MFT y sobrescriba la información previa del archivo.

Desde la perspectiva forense digital, la recuperación total o parcial de archivos, puede resultar vital para una investigación, o proporcionar evidencia adicional.

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Cursos Disponibles en Video

Curso Virtual de Hacking Éticohttp://www.reydes.com/d/?q=Curso_de_Hacking_Etico

Curso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web

Curso Virtual de Informática Forensehttp://www.reydes.com/d/?q=Curso_de_Informatica_Forense

Curso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux

Curso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q=Curso_de_OSINT

Curso Virtual Forense de Redeshttp://www.reydes.com/d/?q=Curso_Forense_de_Redes

Y todos los cursos virtuales:

http://www.reydes.com/d/?q=cursos

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Más Contenidos

Videos de 56 webinars gratuitos

http://www.reydes.com/d/?q=videos

Diapositivas de los webinars gratuitos

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1

Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com

Alonso Eduardo Caballero Quezada

Instructor y Consultor en Hacking Ético & Forense Digital

Sitio Web: www.reydes.com / Correo Electrónico: reydes@gmail.com

¡Muchas Gracias !

29 de Mayo del 2019 Perú