Download Aplicar protocolos de informática forense para el análisis de la

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
Document related concepts
no text concepts found
Transcript 
Anexo 3
Aplicación de la guía metodológica propuesta
ETAPA PRELIMINAR
1. Identificar y definir roles
En la medida en que la presente investigación se realiza con fines académicos, y los recursos de personal
y económicos son limitados, se tendrán en cuenta únicamente los siguientes roles:
1. Líder de la investigación
2. Propietario del sistema o negocio
3. Especialista en informática forense
4. Analista en informática forense
2. Verificar que el contexto de la escena del crimen digital presente
las características adecuadas
En el proceso de recolección de evidencia física, el propietario del sistema o negocio, suministró un
computador portátil con las siguientes características:
Disp
Mar
ositi
ca
vo
Modelo
Núme
Sistema
Núme
ro
de
serial
Tamaño
Tamaño
Nombre
ro de de
de
de
archivo
partici
partición
partición
usuario(o
s
ones
principal
secundari s)
a
del
dispositiv
o
Com
Dell
puta
Inspi
dor
ron
portá
6400
PP20L
1H3JZ
NTFS
1
80Gb
N/A
91
Iván
Felipe
Camero
til
Tabla 1 Características básicas del equipo incautado
Luego de tomar las características básicas del equipo, se realizó la siguiente entrevista con el propietario
del sistema entregado. (Basado en un escenario hipotético)
1. ¿Hace cuánto utiliza el equipo?
Rta/ Hace 6 meses
2. ¿Antes de usted, alguien más usó ese equipo?
Rta/ No
3. ¿El computador era nuevo o usado cuando fue entregado a usted?
Rta/ Nuevo
4. ¿En un día de trabajo habitual, cuál era el uso que le daba al portátil?
Rta/ El computador se encendía las 8am, hora en la que entraba, trabajaba con programas de la
suite de office como lo son Word, Excel y Powerpoint. También para fines de comunicación
utilizaba el correo electrónico. Para visualizar documentos en formato PDF utilizaba el Adobe
Reader. Finalmente, alrededor de las 6pm, el computador se está apagando y esta rutina se repite
de lunes a viernes.
5. ¿Cuáles eran los archivos más confidenciales que manejaba?
Rta/ Archivos de Excel, en los cuales existen balances financieros, información detallada de
nómina y contabilidad de la empresa.
6. ¿En el disco duro, en dónde se encuentran estos archivos?
Rta/ en la carpeta de “Mis documentos”
7. ¿Tiene almacenado estos archivos en algún otro sitio?
Rta/ No, sólo en esa máquina
8. ¿Qué anomalía encontró con sus archivos y cuándo?
Rta/ Luego de realizar la nómina de octubre del presente año, uno de los empleados quedó con un
sueldo mayor al que le correspondía, cambio que yo nunca realice. Esto pasó para la nómina de
Octubre del presente año.
3. Preservación de la evidencia
En la actual investigación
se utilizará el registro de custodia que se propone en el manual de
procedimientos del sistema de cadena de custodia de la Fiscalía General de la Nación [18]
Entidad:
Tipo de elemento físico:
Fecha(dd/mm/aa):
Número Serial:
Cuidad:
Marca y referencia:
Sitio del hallazgo:
Descripción del elemento físico de prueba:
Fecha
Hora
Nombre de quien recibe el Propósito
elemento físico de prueba
del Observaciones
Firma
traspaso de cadena
de custodia
Tabla 2 Resistro de Cadena de Custodia
4. Selección de las herramientas forenses
Partiendo de las herramientas sugeridas en la guía metodológica y teniendo en cuenta que esta
investigación se enmarca en un ámbito académico, se utilizaran las siguientes herramientas:

FTK imager: Esta herramienta se utilizara para realizar la imagen Row data del disco duro
encontrado en la escena del crimen.

The Sleuth Kit: Esta es una herramienta de libre utilización, con la que se puede hacer todo el
manejo y análisis de casos forenses; por lo que se utilizará en la presente investigación para
administrar y analizar todos los artefactos forenses encontrados en la escena del crimen.
ETAPA DE RECOLECCIÓN Y CLASIFICACIÓN DE INFORMACIÓN
5. Tomar la hora que el sistema registra y la actual en caso tal que
ambas difieran
Al momento en que se llegó a la escena del crimen, el sistema registraba la 1:25:36am, hora que coincidió
con la actual de Bogotá el 2 de noviembre de 2009.
6. Recolectar y tomar la imagen de los datos por orden de
volatilidad y acorde con las propiedades de NTFS
Al llegar a la escena del crimen, el computador encontrado de características descritas en el paso 4.2.2., se
encontró encendido. Para la adquisición física de datos se tomó una imagen mediante la herramienta
Adquisición Live de Helix [EFE2009] con la cual se realizó una copia bit a bit de la partición principal
del portátil, que será almacenada en un disco duro externo de 120Gb el cual se formateó previamente. La
siguiente imagen muestra cómo fue el proceso.
Ilustración 1 Adquisición de la imagen forense
Por los objetivos definidos de este trabajo, los cuales especifican que se trabajará exclusivamente con
particiones NTFS, los siguientes elementos no serán contemplados para el análisis de posible evidencia:

Todo registro temporal

Memoria cache

Tabla de ruta,

Memoria principal

Configuración física

Topología de red
tabla de proceso, núcleo de estadísticas
7. Autenticación matemática de los datos
Para verificar la integridad de los datos tomados, se realiza la suma con el algoritmo de reducción
criptográfica md5, la cual se puede calcular con la misma herramienta con la que se hizo la imagen, dicho
archivo se encuentra en el disco duro externo. El resultado del cálculo se puede observar en la siguiente
tabla:
Tabla 1 MD5 de la imagen obtenida de la máquina víctima
Archivo Imagen
Archivo Cálculo md5 de
Resultado Cálculo md5
la imagen
Imagen.dd
Imagen.dd.md5
0d6a96dc7e883792321dcc9747f43492
Tabla 3 MD5 de la imagen obtenida de la máquina víctima
8. Recolectar la información persistente
Debido a que la aplicación de esta guía se enmarca en un ámbito académico y que no se cuenta con los
recursos necesarios de almacenamiento físico, en este caso sólo se trabajará con una copia de la partición
obtenida en la escena del crimen en el paso 4.2.5.
ETAPA DE ANÁLISIS DE EVIDENCIA
9. Clasificar la posible evidencia en orden cronológico
Para cumplir con el objetivo de este paso se utilizo una herramienta que otorga SleuthKit, la cual genera
un registro (archivo plano (.txt)) que contiene en orden cronológico las acciones que se realizaron sobre
todos los archivos del computador a analizar.
Este registro contiene un estructura en donde se describe el día y hora, tamaño, tipo de acción realizada
sobre ese archivo (m (modificado), a (accedido), c (cambiado), b (creado)), modo, user id o el user name,
group id, dirección de Meta Data, y en nombre del archivo.
De este modo, se cuenta con un archivo consolidado con el que se prosigue a analizar detalladamente
cada registro en busca de los archivos que se clasificarán como sospechosos para su posterior análisis.
Asimismo se genera una grafica en forma de la línea de tiempo para visualizar de una mejor forma los
eventos ocurridos en la maquina víctima.
Para obtener el archivo con la línea de tiempo, lo primero que se hace es definir el intervalo de tiempo a
analizar sobre la imagen. En nuestro caso, tomamos un rango con base a la entrevista realizada en el paso
4.2.2 al usuario del computador, de ahí obtuvimos que el ataque pudo haberse realizado entre los últimos
días de octubre y los primeros de noviembre, por tanto las fechas seleccionadas fueron 28 de octubre a 2
de noviembre del 2009. El archivo resultante se puede encontrar en el Anexo 4.
Ilustración 2 Línea de tiempo definitiva
Luego de analizar detalladamente el archivo de la línea de tiempo, se genera una tabla con los posibles
registros que tengan indicios de lo que se efectuó en el ataque, como lo son posibles aplicaciones de
herramientas Anti – Forenses, archivos manipulados en horas en la que pudo ocurrir el ataque, según
datos recolectados en el paso 4.2.2, o simplemente archivos que generen alguna sospecha al investigador.
Como resultado del análisis se genera la tabla a continuación que contiene los archivos a los que se le
prestara principal atención y cuidado en el transcurso de la investigación.
ID
Fecha/ho
Acció
Direcci
ra
n
ón
Dirección en disco
metada
ta
1
2/11/09,
A
112831
C:/WINDOWS/Prefetch/SLACKER.EXE
MC
112831
C:/WINDOWS/Prefetch/SLACKER.EXE
3:19:13
2
2/11/09,
4:11:45
3
2/11/09,
A
111048
4:12:09
4
2/11/09,
2/11/09,
M
111048
2/11/09,
Settings/Administrador/Mis
C:/Documents
and
Settings/Administrador/Mis
documentos/Descargas/md5sum(2).exe
C
111048
4:12:56
6
and
documentos/Descargas/md5sum(2).exe
4:12:43
5
C:/Documents
C:/Documents
and
Settings/Administrador/Mis
documentos/Descargas/md5sum(2).exe
A
110058
C:/WINDOWS/Prefetch/TIMESTOMP.EXE
C
75744
C:/insteelmd.exe
A
109001
C:/Nomina.xlsx
C
109001
C:/Nomina.xlsx
MC
110058
C:/WINDOWS/Prefetch/TIMESTOMP.EXE
MAC
110284
C:/WINDOWS/Prefetch/EVIDENCEELIMINATOR.6.
4:26:47
7
2/11/09,
4:33:14
8
2/11/09,
4:37:17
9
2/11/09,
4:38:24
10
2/11/09,
4:47:17
11
2/11/09,
4:48:22
12
2/11/09,
02.EXE
MAC
110358
C:/WINDOWS/Prefetch/GLB36.TMP
C
3543
C:/Documents
4:48:22
13
2/11/09,
4:48:26
and
Settings/Administrador/Configuración
local/Temp/GLB1A2B.EXE
14
2/11/09,
A
34316
C:/Archivos de programa/Evidence Eliminator/Ee.exe
C
9982
C:/WINDOWS/system32/EEGenFn1.dll
A
111017
C:/WINDOWS/Prefetch/GLJ38.TMP
MC
111017
C:/WINDOWS/Prefetch/GLJ38.TMP
MC
34183
C:/Documents
4:48:28
15
2/11/09,
4:48:37
16
2/11/09,
4:48:37
17
2/11/09,
4:48:40
18
2/11/09,
4:49:00
Settings/Administrador/Configuración
and
local/Temp/bassmod.dll
19
2/11/09,
MAC
110168
4:49:10
20
2/11/09,
C:/WINDOWS/Prefetch/EVIDENCEELIMINATOR.6.
02_PATCH
MAC
110170
C:/WINDOWS/Prefetch/EE.EXE-052B4756
MC
112802
image.dd-img.jpg
MC
112806
image.dd-img2.jpg
MC
112807
image.dd-img3.jpg
MC
112808
image.dd-img.4jpg
MC
112809
image.dd-img5.jpg
MC
112810
image.dd-img6.jpg
MC
112811
image.dd-img7.jpg
MC
112814
image.dd-img10.jpg
MC
112815
image.dd-img11.jpg
MC
112816
image.dd-img12.jpg
MC
112817
image.dd-img13.jpg
MC
112799
image.dd-timestomp.exe
MC
112801
image.dd-slacker.exe
MC
112812
image.dd-img8.jpg
4:49:42
21
2/11/09,
4:55:54
22
2/11/09,
4:55:55
23
2/11/09,
4:55:55
24
2/11/09,
4:55:55
25
2/11/09,
4:55:55
26
2/11/09,
4:55:55
27
2/11/09,
4:55:55
28
2/11/09,
4:55:55
29
2/11/09,
4:55:55
30
2/11/09,
4:55:55
31
2/11/09,
4:55:55
32
2/11/09,
4:55:56
33
2/11/09,
4:55:56
34
2/11/09,
4:55:56
35
2/11/09,
MC
112813
image.dd-img9.jpg
MC
112830
image.dd-imgg.jpg
MC
112833
image.dd-imgg1.jpg
MC
112834
image.dd-imgg2.jpg
MC
112835
image.dd-imgg3.jpg
MC
112836
image.dd-wp.jpg
MC
112837
image.dd-wp_1.jpg
MC
112838
image.dd-wp_2.jpg
MC
112839
image.dd-wp_3.jpg
MC
112840
image.dd-wp_4.jpg
MC
112841
image.dd-wp_5.jpg
MC
112842
image.dd-wp_6.jpg
MAC
112839
image.dd-af
A
3543
C:/Documents
4:55:56
36
2/11/09,
4:55:56
37
2/11/09,
4:55:56
38
2/11/09,
4:55:56
39
2/11/09,
4:55:56
40
2/11/09,
4:55:57
41
2/11/09,
4:55:57
42
2/11/09,
4:55:57
43
2/11/09,
4:55:57
44
2/11/09,
4:55:57
45
2/11/09,
4:55:57
46
2/11/09,
4:55:57
47
2/11/09,
4:55:58
48
2/11/09,
5:2:31
and
Settings/Administrador/Configuración
local/Temp/GLB1A2B.EXE
49
2/11/09,
C
34194
C:/WINDOWS/system32/Eeshellx.dll
C
34316
C:/Archivos de programa/Evidence Eliminator/Ee.exe
5:2:39
50
2/11/09,
5:2:39
51
2/11/09,
C
34324
C:/WINDOWS/system32/EEGenFn1.dll
MAC
8650
C:/WINDOWS/Prefetch/UNWISE.EXE
MAC
34193
C:/Archivos de programa/Evidence Eliminator
MAC
9346
C:/WINDOWS/Prefetch/GLB1A2B.EXE
5:2:40
52
2/11/09,
5:2:41
53
2/11/09,
5:2:53
54
2/11/09,
5:2:53
Tabla 4 Archivos con indicios
Como consecuencia del análisis de la tabla anterior, se pueden empezar a construir hipótesis acerca del
caso, como lo son el uso de algunos ejecutables que aplican técnicas forenses como es el caso de
“slacker.exe”, que proporciona funciones para el ocultamiento de la información; “timestomp.exe” que
permite modificar atributos de marcas de tiempo en los archivos y finalmente “ee.exe” que destruye una
extensa variedad de evidencia que se puede generar en un ataque.
Asimismo, se puede observar que se produjo alguna manipulación del archivo “Nómina.xlsx”, el cual fue
mencionado como sospechoso desde la entrevista realizada en el paso 4.2.2.
10. Determinar el estado y la ubicación de la información
Debido a que en la maquina víctima solo existe una partición, para la investigación se cuenta con una
única ubicación en donde se recopila toda la información que será objeto de estudio.
De otra parte al ser la maquina víctima, responsabilidad de un único usuario, se puede sospechar que
dicha persona es el autor del ataque. Sin embargo, acorde con la hora en que la mayoría de los archivos
sospechosos tuvieron alguna actividad, se disminuye la posibilidad que el ataque fuera efectuado por este
personaje. Por consiguiente, aumenta la posibilidad de que la máquina haya sido atacada por un agente
externo.
En la siguiente tabla se muestra el estado de cada uno de los archivos sospechosos junto con el autor; sin
embargo ya que sólo existe una sesión en la máquina víctima (administrador), no varía el autor de los
archivos. Por otro lado, para el estado de los datos encontrados se manejarán las siguientes siglas:

A, para Activo

B, para Borrado

E, para Eliminado

J, para Ejecución

O, para Oculto
Adicionalmente, se agregó una columna con el propósito de otorgar una breve descripción del archivo
encontrado, incluyendo el fabricante y lo que puede hacer en el sistema.
ID
1
Estado
Descripción
J
Herramienta anti-forense que oculta archivos en el slack space
de otros. Pertenece al proyecto MAFIA de Metasploit.
2
J
Herramienta anti-forense que oculta archivos en el slack space
de otros. Pertenece al proyecto MAFIA de Metasploit.
3
A
Aplicación Unix que calcula la suma MD5 de un determinado
archivo. Desarrollado por eTree.
4
A
Aplicación Unix que calcula la suma MD5 de un determinado
archivo. Desarrollado por eTree.
5
J
Aplicación Unix que calcula la suma MD5 de un determinado
archivo. Desarrollado por eTree.
6
J
Herramienta anti-forense que altera las estampillas de tiempo de
un archivo. Pertenece al proyecto MAFIA de Metasploit.
7
A
Instalador de Evidence Eliminator programa que ayuda al
borrado seguro de todo tipo de archivos. Robin Hood Software.
8
A
Archivo de Microsoft Office Excel 2007.
9
A
Archivo de Microsoft Office Excel 2007.
10
J
Herramienta anti-forense que altera las estampillas de tiempo de
un archivo. Pertenece al proyecto MAFIA de Metasploit.
11
J
Archivo ejecutable de Evidende Eliminator. Robin Hood
Software.
12
J
Ejecuta archivos que se almacenan en carpetas temporales de
Windows y así mismo crea y destruye procesos del disco. Su
constructor es desconocido.
13
A
Infección Spyware. Constructor desconocido.
14
A
Archivo ejecutable de Evidende Eliminator. Robin Hood
Software.
15
A
Librería que Evidence Eliminator inyecta al sistema operativo
para su funcionamiento. Robin Hood Software.
16
J
Archivo “troyano” que se aloja en los archivos temporales de
Windows y funciona descargando otros archivos por internet.
Constructor desconocido.
17
J
Archivo “troyano” que se aloja en los archivos temporales de
Windows y funciona descargando otros archivos por internet.
Constructor desconocido.
18
A
Archivo descrito como un Troyano el cual descarga archivos en
masa por internet. Constructor desconocido.
19
J
Parche para crackear el programa Evidence Eliminator. Autor
desconocido.
20
J
Archivo ejecutable de Evidende Eliminator. Robin Hood
Software.
21
E
Imagen con extensión del archivo comprimido jpg.
22
E
Imagen con extensión del archivo comprimido jpg.
23
E
Imagen con extensión del archivo comprimido jpg.
24
E
Imagen con extensión del archivo comprimido jpg.
25
E
Imagen con extensión del archivo comprimido jpg.
26
E
Imagen con extensión del archivo comprimido jpg.
27
E
Imagen con extensión del archivo comprimido jpg.
28
E
Imagen con extensión del archivo comprimido jpg.
29
E
Imagen con extensión del archivo comprimido jpg.
30
E
Imagen con extensión del archivo comprimido jpg.
31
E
Imagen con extensión del archivo comprimido jpg.
32
E
Herramienta anti-forense que altera las estampillas de tiempo de
un archivo. Pertenece al proyecto MAFIA de Metasploit.
33
E
Herramienta anti-forense que oculta archivos en el slack space
de otros. Pertenece al proyecto MAFIA de Metasploit.
34
E
Imagen con extensión del archivo comprimido jpg.
35
E
Imagen con extensión del archivo comprimido jpg.
36
E
Imagen con extensión del archivo comprimido jpg.
37
E
Imagen con extensión del archivo comprimido jpg.
38
E
Imagen con extensión del archivo comprimido jpg.
39
E
Imagen con extensión del archivo comprimido jpg.
40
E
Imagen con extensión del archivo comprimido jpg.
41
E
Imagen con extensión del archivo comprimido jpg.
42
E
Imagen con extensión del archivo comprimido jpg.
43
E
Imagen con extensión del archivo comprimido jpg.
44
E
Imagen con extensión del archivo comprimido jpg.
45
E
Imagen con extensión del archivo comprimido jpg.
46
E
Imagen con extensión del archivo comprimido jpg.
47
E
Fichero eliminado.
48
A
Ejecuta archivos que se almacenan en carpetas temporales de
Windows y así mismo crea y destruye procesos del disco. Su
constructor es desconocido.
49
A
Librería que Evidence Eliminator inyecta al sistema operativo
para su funcionamiento. Robin Hood Software.
50
A
Archivo ejecutable de Evidende Eliminator. Robin Hood
Software.
51
A
Librería que Evidence Eliminator inyecta al sistema operativo
para su funcionamiento. Robin Hood Software.
52
J
Archivo el cual desinstala aplicaciones con instalador Wise.
Constructor varia en las aplicaciones.
53
A
Fichero que aloja el software Evidence Eliminator.
54
J
Ejecuta archivos que se almacenan en carpetas temporales de
Windows y así mismo crea y destruye procesos del disco. Su
constructor es desconocido.
Tabla 5 Estado y descripción de archivos sospechosos encontrados
Mediante la anterior tabla, se puede observar una serie de comportamientos anormales según el uso que el
usuario de la máquina dijo que se le daba. En la siguientes dos secciones se analizan dichos archivos.
11. Clasificar la evidencia según el nivel de susceptibilidad
Como se mencionó anteriormente, el objetivo principal de este trabajo se centra en el sistema de archivos
NTFS, razón por la cual el nivel de susceptibilidad se reduce a este.
12. Para la evidencia encontrada a nivel de sistema de archivos,
determinar la técnica anti-forense posiblemente materializada
12.1. Obtención de información escondida u oculta
 Detección de datos ocultos en Cluster dañados:
Partiendo de los resultados que arrojó el análisis del archivo C:/$BadClus:$Bad se concluye que
no existen datos ocultos en los cluster dañados debido a que en este archivo no se encuentra
ningún cluster marcado como dañado.
 Detección de datos ocultos en el File Slack
Con el objetivo de delimitar el análisis de los file slack, se filtraron los archivos sospechosos para
generar una tabla con los archivos que tienen indicios de manipulación de la herramienta slacker;
la cual utiliza métodos para ocultar datos en el file slack. Estos indicios se obtuvieron al analizar
el orden consecutivo en el que se tiene registro de ejecución de Slacker y la manipulación de
estos archivos; esto se puede observar en los resultados de la sección 4.2.9 clasificar la posible
evidencia en orden cronológico.
La tabla que se muestra a continuación contiene los archivos a los que se les realizara el análisis
de file slack.
Dirección en disco
Tamaño
Estado
C:/af/img2.jpg
196608
Eliminado
C:/af/ img3.jpg
196608
Eliminado
C:/af/ img4.jpg
196608
Eliminado
C:/af/ img5.jpg
196608
Eliminado
C:/af/ img6.jpg
196608
Eliminado
C:/af/ img7.jpg
196608
Eliminado
C:/af/ img8.jpg
196608
Eliminado
C:/af/ img9.jpg
196608
Eliminado
C:/af/ img10.jpg
196608
Eliminado
C:/af/ img11.jpg
196608
Eliminado
C:/af/ img12.jpg
196608
Eliminado
C:/af/ img13.jpg
196608
Eliminado
C:/af/imgg.jpg
720896
Eliminado
C:/af/ imgg1.jpg
720896
Eliminado
C:/af/ imgg2.jpg
720896
Eliminado
C:/af/ imgg3.jpg
720896
Eliminado
C:/af/wp.jpg
1179648
Eliminado
C:/af/wp_1.jpg
1179648
Eliminado
C:/af/ wp_2.jpg
1179648
Eliminado
C:/af/ wp_3.jpg
1179648
Eliminado
C:/af/ wp_4.jpg
1179648
Eliminado
C:/af/ wp_5.jpg
1179648
Eliminado
C:/af/ wp_6.jpg
1179648
Eliminado
Tabla 6 Estado de los archivos encontrados en el espacio slack
Al analizar los archivos listados en la tabla anterior se encontró lo siguiente:

Comparando la hora y fecha que arroja la línea de tiempo para la ejecución de Slacker y los
atributos MACE (Modificado, Accedido, Creado, Entrada Modificada) de los archivos, se
observa que coinciden con el ultimo acceso a cada archivo. Con esto se puede corroborar que los
archivos probablemente se hayan manipulado con esta herramienta anti–forense.

Partiendo que el estado de los archivos se encuentra en eliminado, se analizó con el editor
hexadecimal el contenido de cada uno de los archivos. Se observó que tenían todos los datos en
cero, lo que pudo ser a causa de una sobrescritura con un patrón de ceros. Por esta razón, se
imposibilitó la obtención de alguna información almacenada en el file slack.
Debido a que el análisis del file slack no arrojo ningún resultado contundente, solo se genera un indicio de
la aplicación de herramientas para ocultar información en el file slack, la cual es el uso de slacker.exe,
que se evidencia en la línea de tiempo.
Sin embargo, se debe tener en cuenta el patrón de ceros que contienen los archivos, ya que en la línea de
tiempo se puede observar el uso de Evidence Eliminator, la cual proporciona funciones para el borrado
seguro. Por ende, este hecho se tomará como un indicio de la posible ejecución de Evidence Eliminator en
estos archivos.
Las figuras a continuación muestran el análisis de la evidencia que se realizó en este paso.:
Ilustración 3 Análisis MACE
En la anterior figura se muestra la fecha de ultimo acceso para el archivo ima2.jpg la cual se genero
minutos después de la ejecución de Slacker que fue el 2009.11.02 a las 03:03:19.
Ilustración 4 Análisis Datos img2.jpg
12.2.Obtención de la información borrada
Los archivos eliminados que se analizaran en este paso serán los que se encuentran en el directorio C:/af.
debido a que este directorio contiene la mayoría de los archivos sospechosos o potencialmente
analizables.
Los archivos que se recuperaran para su análisis se listan a continuación.
Dirección en disco
Estado
C:/af/img2.jpg
Eliminado
C:/af/ img3.jpg
Eliminado
C:/af/ img4.jpg
Eliminado
C:/af/ img5.jpg
Eliminado
C:/af/ img6.jpg
Eliminado
C:/af/ img7.jpg
Eliminado
C:/af/ img8.jpg
Eliminado
C:/af/ img9.jpg
Eliminado
C:/af/ img10.jpg
Eliminado
C:/af/ img11.jpg
Eliminado
C:/af/ img12.jpg
Eliminado
C:/af/ img13.jpg
Eliminado
C:/af/imgg.jpg
Eliminado
C:/af/ imgg1.jpg
Eliminado
C:/af/ imgg2.jpg
Eliminado
C:/af/ imgg3.jpg
Eliminado
C:/af/wp.jpg
Eliminado
C:/af/wp_1.jpg
Eliminado
C:/af/ wp_2.jpg
Eliminado
C:/af/ wp_3.jpg
Eliminado
C:/af/ wp_4.jpg
Eliminado
C:/af/ wp_5.jpg
Eliminado
C:/af/ wp_6.jpg
Eliminado
C:/Nomina.xls
Eliminado
TimeStomp.exe
Eliminado
Slacker.exe
Eliminado
EE.rar
Eliminado
EE.exe
Eliminado
Tabla 7 Archivos borrados
Como se observó en pasos anteriores, para estos archivos no fue posible recuperar su contenido ya que se
utilizó una herramienta de borrado seguro para su eliminación; esto se evidencia en tanto todos los
archivos listados tienen sus datos en ceros [45], lo cual es un indicio identificado del uso de una
herramienta de borrado seguro.
Partiendo de la premisa que en este ataque se utilizó una herramienta de borrado seguro, se empiezan a
encadenar suceso y evidencias ya encontradas, como lo es la ejecución de Evidence Eliminator que se
observa en la línea de tiempo en la fecha 2009.11.02 a las 04:49:42. Comparando la fecha de
modificación de los archivos analizados en este paso, se observa que es minutos después de la ejecución
de Evidence Eliminator como lo muestra la ilustración 64.
Ilustración 5 Análisis MACE 2
En búsqueda de un indicio más contundente de la aplicación de la herramienta Evidence Eliminator en
este ataque se busca en toda la imagen del disco duro cualquier otra evidencia. Como resultado de esta
exhaustiva búsqueda se encontró que Evidence Eliminator realiza una inyección de un .dll (Dynamic
Linking Library) que contienen los métodos y funciones con las que realiza el borrado seguro. Este .dll se
llama EEGenFn1.dll; asimismo también se observa que los atributos MACE de este .dll conciden con las
fechas de ejecución del Evidence Eliminator, además hay que sumarle que se observa la utilización de
dicho dll en la línea de tiempo.
Esto de se puede observar en las figuras a continuación.
Ilustración 6 Atributos MACE EEGenFn1.dll
Ilustración 7 Contenido EEGenFn1.dll
De la misma forma también se encontró que el archivo ~GLH0091.TMP fue utilizado por la herramienta
Evidence Eliminator, por sus atributos MACE y por lo encontrado en su contenido como lo muestra la
siguiente figura:
Ilustración 8 Análisis ~GLH0091
12.3. Identificación de información falsificada
En los archivos clasificados como sospechosos, se encuentran indicios de la aplicación de la herramienta
timestomp.exe, que falsifica y modifica los atributos MACE. Partiendo lo que se observa en la línea de
tiempo la ejecución de timestomp.exe se realizó en la fecha 2009.11.02 a las 04:26:47 y al archivo
Nomina.xls se accedió en la misma fecha, a las 04:37:17. Por esta razón se sospecha que esta herramienta
se aplicó en el archivo Nomina.xls.
Ilustración 9 Línea de tiempo Nomina.xls
Al analizar los valores MACE del atributo SIA ($STANDARD_INFORMATION Attribute) y los de los
atributos FN ($FILE_NAME Attribute) del archivo Nomina.xls que se muestran en la figura 8, se observa
que son iguales, lo que puede significar que después de que se aplicó la herramienta timestomp.exe el
archivo fue cambiado de ubicación; esto se deduce puesto que los atributos FN solo se modifican la
primera vez que se crea el archivo y cuando es modificada su ubicación. Pero gracias a los datos
encontrados en la línea de tiempo, se puede concluir que los valores MACE de este archivo son falsos ya
que su última modificación debería estar en la fecha 2009.11.02 a las 04:37:17.
Ilustración 10 Valores MACE Nomina.xls
12.4.Identificación de la eliminación de fuentes de la evidencia
Después del análisis no se encontró ningún indicio de aplicación de técnicas anti – forenses que
atentaran o eliminaran fuentes de la evidencia.
13. Aplicar protocolos de informática forense para el análisis de la evidencia
Para el análisis de la evidencia se utilizaron los protocolos y métodos necesarios en el paso anterior,
lo que significa que este paso se omitirá.
14. Clasificación de la evidencia
Según la evidencia encontrada y partiendo de los resultados arrojados por el análisis a los archivos
que se les aplico alguna técnica anti – forense son:
a) Destrucción de la evidencia.
Dirección en disco
Estado
C:/af/img2.jpg
Eliminado
C:/af/ img3.jpg
Eliminado
C:/af/ img4.jpg
Eliminado
C:/af/ img5.jpg
Eliminado
C:/af/ img6.jpg
Eliminado
C:/af/ img7.jpg
Eliminado
C:/af/ img8.jpg
Eliminado
C:/af/ img9.jpg
Eliminado
C:/af/ img10.jpg
Eliminado
C:/af/ img11.jpg
Eliminado
C:/af/ img12.jpg
Eliminado
C:/af/ img13.jpg
Eliminado
C:/af/imgg.jpg
Eliminado
C:/af/ imgg1.jpg
Eliminado
C:/af/ imgg2.jpg
Eliminado
C:/af/ imgg3.jpg
Eliminado
C:/af/wp.jpg
Eliminado
C:/af/wp_1.jpg
Eliminado
C:/af/ wp_2.jpg
Eliminado
C:/af/ wp_3.jpg
Eliminado
C:/af/ wp_4.jpg
Eliminado
C:/af/ wp_5.jpg
Eliminado
C:/af/ wp_6.jpg
Eliminado
C:/Nomina.xls
Eliminado
TimeStomp.exe
Eliminado
Slacker.exe
Eliminado
EE.rar
Eliminado
Eliminado
EE.exe
Tabla 8 Archivos destruidos
b) Ocultar la evidencia.
Dirección en disco
Estado
C:/af/img2.jpg
Eliminado
C:/af/ img3.jpg
Eliminado
C:/af/ img4.jpg
Eliminado
C:/af/ img5.jpg
Eliminado
C:/af/ img6.jpg
Eliminado
C:/af/ img7.jpg
Eliminado
C:/af/ img8.jpg
Eliminado
C:/af/ img9.jpg
Eliminado
C:/af/ img10.jpg
Eliminado
C:/af/ img11.jpg
Eliminado
C:/af/ img12.jpg
Eliminado
C:/af/ img13.jpg
Eliminado
C:/af/imgg.jpg
Eliminado
C:/af/ imgg1.jpg
Eliminado
C:/af/ imgg2.jpg
Eliminado
C:/af/ imgg3.jpg
Eliminado
C:/af/wp.jpg
Eliminado
C:/af/wp_1.jpg
Eliminado
C:/af/ wp_2.jpg
Eliminado
C:/af/ wp_3.jpg
Eliminado
C:/af/ wp_4.jpg
Eliminado
C:/af/ wp_5.jpg
Eliminado
C:/af/ wp_6.jpg
Eliminado
Tabla 9 Archivos ocultados
c) Eliminación de las fuentes de la evidencia.
No aplica
d) Falsificación de la evidencia.
Dirección en disco
Estado
C:/Nomina.xls
Eliminado
Tabla 10 Evidencia falsificada
e) Matriz de aplicación de más de una técnica anti–forense
Técnica AF (Fecha y Hora)
Slacker
(20009.11.02
03:19:13)
Evidence Eliminator (20009.11.02
----------------------
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/img2.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img3.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img4.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img5.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img6.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img7.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img8.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img9.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img10.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img11.jpg
- 04:48:22)
- Timestomp
04:26:47)
Nomina.xls
(2009.11.02
-
Evidence Eliminator (20009.11.02 C:/af/ img12.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ img13.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/imgg.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ imgg1.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ imgg2.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ imgg3.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/wp.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/wp_1.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ wp_2.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ wp_3.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ wp_4.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ wp_5.jpg
- 04:48:22)
Evidence Eliminator (20009.11.02 C:/af/ wp_6.jpg
- 04:48:22)
Tabla 11 Relación de técnicas anti-forenses en la escena
15. Resultados del análisis
Con los resultados que muestra el análisis, se puede concluir que en este ataque se utilizaron tres
herramientas anti–forenses que corresponden a la aplicación de tres técnicas que son: Destrucción de la
evidencia, Ocultar la evidencia y Falsificación de la evidencia. Asimismo se observó que se aplicaron
conjunta y paralelamente dichas herramientas. Esto dificultó el trabajo de los investigadores como fue el
caso de los datos que se almacenaron en el slack space por la herramienta Slacker.exe, ya que estos datos
fueron imposibles de recuperar, por lo que el atacante logro eliminar evidencia vital para la investigación.
Estos resultados revelan que la aplicación de técnicas anti–forenses a nivel de sistemas de archivos no
dejan rastros claros, de igual forma logran de alguna forma disminuir el éxito de la investigación, ya que
la evidencia digital encontrada esta en forma borrosa y poco clara.
Related documents
Insect Eliminator
Insect Eliminator
GUIA - ESpice
GUIA - ESpice
Técnicas Anti-Forenses en Informática: Ingeniería
Técnicas Anti-Forenses en Informática: Ingeniería
Slide 1 - SlideBoom
Slide 1 - SlideBoom
PAGINA WEB IVCC 2016 - Colegio Virgen del Carmen de Cuyo
PAGINA WEB IVCC 2016 - Colegio Virgen del Carmen de Cuyo