Post on 05-Jul-2020
Análisis Forense utilizando Linux
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético & Forense Digital
Sitio Web: www.reydes.com / Correo Electrónico: reydes@gmail.com
29 de Mayo del 2019 Perú
Alonso Eduardo Caballero Quezada
EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling, Digital Forensics, Cybersecurity Management Cyber Warfare and Terrorism, Enterprise Cyber Security Fundamentals, Phishing Countermeasures, Pen Testing y Basic Technology Certificate Autopsy Basics and Hands On.
Instructor y expositor en OWASP Perú, PERUHACK, 8.8 Lucky Perú. Más de 16 años de experiencia y desde hace 12 años labora como consultor e instructor independiente en las áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú.
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
https://twitter.com/Alonso_ReYDeS https://www.youtube.com/c/AlonsoCaballero
https://www.facebook.com/alonsoreydes/ http://www.reydes.com
https://www.linkedin.com/in/alonsocaballeroquezada/ reydes@gmail.com
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
¿Qué es GNU/Linux?
GNU/Linux
Linux es el núcleo: el programa del sistema encargado de asignar los recursos de la máquina a los demás programas ejecutados por el usuario. El núcleo es una parte esencial de un sistema operativo, pero inútil por sí mismo, sólo puede funcionar en el marco de un sistema operativo completo. Linux se utiliza normalmente en combinación con el sistema operativo GNU: el sistema completo es básicamente GNU al cual se le ha añadido Linux, es decir, GNU/Linux. Todas las distribuciones denominadas "Linux" son en realidad distribuciones GNU/Linux.
Muchos usuarios no entienden la diferencia entre el núcleo, lo cual es Linux y el sistema completo, al cual también llaman "Linux". Su uso ambiguo no ayuda a comprenderlo. Se piensa Linus Torvalds, con un poco de ayuda, desarrolló el sistema operativo completo en 1991.
* Linux y el sistema GNU: https://www.gnu.org/gnu/linux-and-gnu.es.html
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
GNU/Linux
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
* Distro Watch: https://distrowatch.com/
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
¿Qué es Ubuntu Linux?
Ubuntu Linux
Ubuntu es un sistema operativo de software libre y código abierto. Es una distribución de Linux basada en Debian. Actualmente corre en computadores de escritorio y servidores.
Está orientado al usuario promedio, con un fuerte enfoque en la facilidad de uso y en mejorar la experiencia del usuario.
Está compuesto de múltiple software normalmente distribuido bajo una licencia libre o de código abierto. Estadísticas web sugieren la cuota de mercado de Ubuntu dentro de las distribuciones Linux es, aproximadamente del 52 %, con una tendencia a aumentar como servidor web.
* Ubuntu: https://ubuntu.com/* Debian: https://www.debian.org/
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Ubuntu Linux
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
¿Qué es SIFT Workstation?
SIFT WorkStation
La estación de trabajo SIFT está constituida de un grupo de herramientas open source libres, para realizar respuesta de incidentes y forense digital, siendo diseñado para realizar análisis forenses digitales detallados en una diversidad de escenarios.
SIFT puede ser utilizado como cualquier suite de herramientas para respuesta de incidentes y forense digital. Demuestra las capacidades avanzadas para respuesta de incidentes, y las técnicas forenses digitales profundas, las cuales pueden realizarse utilizando herramientas open source de última generación, las cuales están disponibles libremente y se actualizan frecuentemente.
* SIFT Workstation: https://digital-forensics.sans.org/community/downloads
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Características de SIFT
Es exitosamente utilizado en respuesta de incidentes y forense digital, y está disponible libremente como servicio público. Continúa siendo la herramienta open source más popular de este tipo
● Basado en Ubuntu LTS 16.04● Sistema base de 64 bits● Mejor utilización de memoria● Actualización automática de paquetes DFIR y personalizaciones● Las últimas herramientas y técnicas forenses● Disponible una VM listo para trabajar en forense● Compatibilidad cruzada entre Linux y Windows● Opción para instalar un sistema autónomo mediante un instalador
“SIFT-CLI”● Documentación del proyecto● Soporte ampliado para sistemas de archivos* SIFT Documentation: http://sift.readthedocs.io/en/latest/
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Herramientas en SIFT
● log2timeline (Herramienta para generar cronologías)● Rekall Framework (Análisis de memoria)● Volatility Framework (Análisis de memoria)● Plugins para Volatily de 3eros● bulk_extractor● autopsy● lightgrep● Log2timeline● Plaso● Qemu● regripper and plugins● SleuthKit● afflib, afflib-tools, ClamAV, dc3dd, imagemounter, libbde, libesedb,
libevt, libevtx, libewf, libewf-tools, libewf-python, libfvde, libvshadow
● Más de 100 herramientas.
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Ejemplos de Análisis Forense utilizando SIFT (Linux)
Memoria RAM
La memoria del sistema es el espacio de trabajo para el sistema operativo. Lo utiliza para colocar los datos necesarios para ejecutar programas, como también los programas por si mismos.
Esta es la razón por la cual es muy importante para el forense digital, adquirir la memoria del sistema. Pues el analizar la memoria puede revelar la existencia de procesos maliciosos, o programas los cuales no dejan rastros en el dispositivo de almacenamiento de la máquina (discos duros).
La memoria también puede contener las conexiones de red abiertas, lo cual podría corresponder a las direcciones IP de los atacantes, quienes tal vez están robando datos o controlando la máquina remotamente.
Existen diversos elementos de evidencia factibles de ser obtenidas.
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Análisis al Registro de Windows
El registro puede ser considerado como una base de datos estructurada de Windows. Contiene las configuraciones y ajustes del sistema operativo, además contiene los ajustes de los servicios en funcionamiento y aplicaciones instaladas, con las preferencias de los usuarios.
No es obligatorio para las aplicaciones instaladas utilizar el registro de Windows para almacenar sus configuraciones o ajustes. Algunos programas utilizan archivos XML o archivos de texto para este propósito.
El análisis al registro del Windows en el proceso forense digital, es una fuente valiosa de información evidencial para los investigadores. Pues los rastros obtenidos desde aquí pueden ayudar a entender las circunstancias de los incidentes bajo investigación.
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Recuperación de Archivos
Si un usuario formatea una partición; por ejemplo en un sistema de archivos NTFS, algunos sectores al inicio de la partición serán reservadas para el MFT.
El MFT contiene los metadatos sobre los archivos en el sistema. Cada entrada tiene un tamaño de 1KB, y cuando el usuario borra un archivo, la entrada del archivos en la MFT se marca como no asignada. Aunque la información del archivo sigue existiendo, hasta otro archivo utilice esta entrada MFT y sobrescriba la información previa del archivo.
Desde la perspectiva forense digital, la recuperación total o parcial de archivos, puede resultar vital para una investigación, o proporcionar evidencia adicional.
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Cursos Disponibles en Video
Curso Virtual de Hacking Éticohttp://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Webhttp://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forensehttp://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linuxhttp://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligencehttp://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redeshttp://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
http://www.reydes.com/d/?q=cursos
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Más Contenidos
Videos de 56 webinars gratuitos
http://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
http://www.reydes.com/d/?q=node/3
Artículos y documentos publicados
http://www.reydes.com/d/?q=node/2
Blog sobre temas de mi interés.
http://www.reydes.com/d/?q=blog/1
Alonso Eduardo Caballero Quezada -:- Sitio Web: www.reydes.com -:- Correo Electrónico: reydes@gmail.com
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético & Forense Digital
Sitio Web: www.reydes.com / Correo Electrónico: reydes@gmail.com
¡Muchas Gracias !
29 de Mayo del 2019 Perú