Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las profundidades del sistema. [rooted2019]

248 views

Published on

Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las profundidades del sistema. [rooted2019]

Published in: Technology
  • Be the first to comment

Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las profundidades del sistema. [rooted2019]

  1. 1. Extrayendo artefactos forenses de las profundidades del sistema
  2. 2. Ponente
  3. 3. Tipos de investigaciones forenses  El sistema a analizar es la víctima  El sistema a analizar es el arma del crimen
  4. 4. Entorno de la investigación  Corporativo  Recogida de evidencias bajo mandato judicial  El ordenador es “de un amigo que me lo ha prestado”
  5. 5. Nivel estimado del usuario del sistema  Usuario nivel nativo digital  Usuario nivel cuñado (AKA Juanker)  Usuario nivel leyenda (¿De verdad usa Windows?)
  6. 6. ¿Cómo me encuentro el sistema?  Encendido y sin bloquear  Encendido y bloqueado (Windows Hello?)  Apagado y no cifrado  Apagado y cifrado
  7. 7. ¿Snorkel o inmersión?  Análisis de emails, documentos, multimedia…  Análisis de artefactos a bajo nivel (Registro, MFT, SQLite)
  8. 8. Herramientas necesarias  Hw • Clonadora/USB • HDD destino • TAP? • Dongle Wifi? • WS forense  Sw • Microsoft Sysinternals • NirSoft • Comunidad (H. Carvey’s RegRipper, E. Zimmerman’s KAPE, D. Stevens, Brian Carrier’s Autopsy, Wireshark, Volatility) • Distros (REMnux, Flare VM, SANS SIFT, CAINE, Paladin, HELK) • Comercial (Virtualización, ofimática, suites forenses)  San Google  Dinero para formación (o tiempo infinito para leer por tu cuenta)
  9. 9. El tamaño importa Windows 10, 40.30% Windows 8.1, 4.37% Windows 8, 0.99% Windows 7, 38.41% Windows Vista, 0.25% Windows XP, 3.91% macOS, 9.69% Linux, 2.11% Cuota de mercado FEB 19 Windows 10 Windows 8.1 Windows 8 Windows 7 Windows Vista Windows XP macOS Linux
  10. 10. Grandes novedades cada 6 meses Versión Nombre en clave Nombre comercial Lanzamiento 1507 Threshold 1 Julio 2015 1511 Threshold 2 November update Noviembre 2015 1607 Redstone 1 Anniversary update Agosto 2016 1703 Redstone 2 Creators update Abril 2017 1709 Redstone 3 Falls Creators update Octubre 2017 1803 Redstone 4 April 2018 update Abril 2018 1809 Redstone 5 October 2018 update Noviembre 2018
  11. 11. Versiones de Windows 10  Windows S (desaparece en 03/19, pasa a Modo S)  Windows Education  Windows Home  Windows 10 Pro for Workstations  Windows 10 Pro  Windows 10 Enterprise  Windows Insider?  Versiones de 32 y 64 bits  Windows To Go
  12. 12. Problemas a los que se enfrenta el DFI  Windows funciona como una caja negra  Nuevos artefactos cada 6 meses  Cada major update, elimina todos los EVTX • Y la fecha de instalación del sistema!!!  Lenta aparición de herramientas de parseo de nuevos artefactos en la comunidad.
  13. 13. Problemas a los que se enfrenta el DFI  Antiforense • Destrucción física de evidencias • Eliminación/borrado de ficheros/volúmenes • Modificación de ficheros de log • Cifrado/codificación de ficheros • Esteganografía • Cifrado/codificación de comunicaciones • Canal lateral de comunicaciones • Protección por contraseña/biometría • Ataques contra las herramientas forenses • Ocultación de evidencias • Saturación de evidencias y falta de tiempo
  14. 14. Sistema de ficheros  NTFS: • Asignación y utilización del espacio en el volumen • Creación y eliminación de ficheros • Modo en el que metadatos asociados son almacenados y actualizados.  Principal fuente: MFT. Contiene o referencia de manera indirecta toda la información posible de un fichero: timestamps, tamaño en bytes, atributos, directorio padre y su contenido.  Necesario acceso en crudo al volumen para poder interactuar o adquirir los contenidos del fichero $MFT.
  15. 15. Sistema de ficheros  Elementos fundamentales de entrada MFT: • Tipo de registro • Número de registro • Número de registro de padre • Banderas activas/inactivas • Atributos: $STANDARD_INFORMATION, $FILENAME y $DATA • Unidad de disco estándar sectores de 512 bytes-> MFT estructurada como conjunto de registros de 1024 bytes denominados entradas. • Unidad de disco con AF (Advanced Format) sectores de 4 KB-> Registros MFT tamaño de 4096 bytes.
  16. 16. Sistema de ficheros  NTFS capaz de almacenar ficheros de pequeño tamaño en un registro de la MFT. • Cuidado con scripts maliciosos!!!  Análisis de MFT • Identificación ficheros y directorios eliminados. • Análisis de timestamps • Datos residentes • ADS
  17. 17. Sistema de ficheros  VSC (Volume Shadow Copy) proporciona un mecanismo para establecer puntos de restauración de los ficheros de todo un volumen. • Buena fuente anti antiforense.  SO de 64 bits incluye subsistema de compatibilidad WoW64 (Windows 32-bit on Windows 64-bit) para el correcto funcionamiento de aplicaciones 32 bits • ¿Problema? al analizar muestras 32 bits en entorno 64 bits.
  18. 18. El Registro  Compleja BBDD en la que el SO almacena todos los detalles relativos a su funcionamiento y configuración.  Análisis del Registro: • Conexión de memoria USB? • Si se eliminó alguna aplicación como medida antiforense • Últimos ficheros abiertos por el usuario • Persistencia de malware en el sistema  Shim Cache permite realizar seguimiento de ficheros ejecutables y scripts que requieran configuraciones especiales de compatibilidad para poder ejecutarse correctamente. • Last Modified de ShimCache origen en el atributo del fichero $SI. • Cuidado con timestomping! • En Windows 10 la cabecera pasó a ser de 48 bytes de longitud.
  19. 19. El Registro. Autoejecución.  Servicios • Sistema local • Servicio de red • Servicio local • Cada ImagePath de un servicio corresponde con nombre de proceso en ejecución. PPID services.exe.  Claves Run y RunOnce • Persistencia de malware  Active Setup
  20. 20. El Registro. Autoejecución.  AppInit_DLLs contiene librerías que se cargan automáticamente siempre que sea lanzada una aplicación en modo usuario enlazada a user32.dll  Paquetes LSA (Local Security Authority)  Internet Explorer 7 y las versiones posteriores incluyen una opción en el menú para gestionar de manera individual los BHO (Browser Helper Objects). • No funcionan en Edge!  Extensiones de la shell. Equivale a BHO para el Explorador de ficheros
  21. 21. El Registro. Autoejecución  Shell de Winlogon. Personalizar la shell cargada cuando el usuario se loguea en el sistema.  Winlogon Userinit. userinit.exe carga logon y scripts de GPO, algunos auto ejecutables y shell de Explorer.  AppCompatFlags • Subclaves Custom e InstalledSDB aportan información de autoarranque para aplicaciones heredadas.
  22. 22. El Registro. Claves de usuario  Evidencias específicas de configuraciones y comportamiento de cuentas de usuario. • NTUSER.DAT y USRCLASS.DAT  Shellbags: preferencias de usuario sobre visualización de carpetas del sistema de ficheros con Explorador de Archivos.  UserAssist: seguimiento de aplicaciones GUI lanzadas por el usuario a través de la shell del Explorador de Windows.
  23. 23. El Registro. Claves de usuario  MUICache: aplicaciones ejecutadas por el usuario.  MRU (Most Recently Used): seguimiento de objetos abiertos recientemente.  RunMRU: Listado de aplicaciones ejecutadas a través del diálogo Ejecutar (Run) del Menú Inicio (Start Menu).  RecentDocs: listado de carpetas y ficheros abiertos recientemente.  Recent Files: seguimiento de ficheros abiertos con aplicaciones de Microsoft Office.
  24. 24. El Registro. Claves de usuario  Versión 16.0 (Office 2016) ficheros almacenados localmente:  HKCUSoftwareMicrosoftOffice16.0<APP>User MRULiveId_####File MRU  Versión 16.0 (Office 2016) ficheros almacenados en OneDrive  HKCUSoftwareMicrosoftOffice16.0<APP>SecurityTrusted DocumentsTrustRecords  Cada aplicación de Office tiene su propia subclave.
  25. 25. El Registro. Claves de usuario  Internet Explorer TypedURLs y TypedPaths: listado de las URL accedidas recientemente.  Remote Desktop MRU: histórico de conexiones establecidas recientemente.  WordWheelQuery: palabras clave buscadas desde el Menú Inicio.
  26. 26. Mecanismos alternativos de persistencia  Carpetas de Inicio  Tareas recurrentes (at y schtasks)  Modificación de binarios del sistema  DLL Load-order hijacking
  27. 27. Otras evidencias de gran interés  Prefetch: Permite determinar las aplicaciones que se ejecutaron al menos una vez. <= 1024 elementos.  Dispositivos USB conectados al sistema y timestamp de conexión (hive SYSTEM).  Logs transaccionales del Registro
  28. 28. Otras evidencias de gran interés  Ficheros LNK: Punteros a otros ficheros o carpetas en un sistema.  Thumbnails: Miniaturas de imágenes, documentos ofimáticos y carpetas en BBDD thumbcache.  Papelera de Reciclaje  BitLocker?  Jump Lists de la Barra de tareas  AppLocker medida de seguridad basada en whitelisting
  29. 29. Otras evidencias de gran interés  Microsoft Store • C:Program FilesWindowsApps • C:ProgramDataMicrosoftWindowsAppRepositoryStateRepository-Machine.srd  AmCache (Amcache.hve): Fichero con estructura de fichero del Registro, pero no forma parte de él. • Creado por la tarea ProgramDataUpdater, del Application Experience Service. Almacena información relacionada con ejecución de programas.  SRUM (System Resource Usage Monitor): Componente del servicio de política de diagnóstico.
  30. 30. Artefactos forenses novedosos en W10. Portapapeles  Historial del Portapapeles • v1809 de Windows 10 • Almacena lista de elementos copiados (texto, hipervínculos y gráficos). • Anclar elementos-> • Perduran entre reinicios del sistema, pero se almacenan cifrados. • Desanclar un objeto lo elimina del sistema de ficheros. • En memoria, están asociados a svchost.exe y se encuentran en claro… • Sincronizar historial entre dispositivos-> canal lateral? • Eliminar manualmente datos del Portapapeles. • Al reiniciar el sistema, se eliminan automáticamente los no anclados. • %AppData%LocalMicrosoftWindowsClipboard • Subcarpetas: HistoryData y Pinned • En Pinned se crea fichero JSON con metadatos de las subcarpetas (GUID, timestamp, source, cloud_id)
  31. 31. Artefactos forenses novedosos en W10. Portapapeles
  32. 32. Artefactos forenses novedosos en W10. Portapapeles  Carpetas asociadas a objetos tipo texto contienen 3 ficheros: • metadata.json • TG9jYWxl (locale) • VGV4dA== (Text) {"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None ","isEncrypted":true},"Text":{"dataType":"String","collectionType":"None","i sEncrypted":true}},"sourceAppId":"","property":{}}
  33. 33. Artefactos forenses novedosos en W10. Portapapeles  Carpetas de objetos tipo imagen, 2 ficheros: • metadata.json • Qml0bWFw (Bitmap)  Carpetas de objetos tipo hipervínculo, 4 ficheros. 3 idénticos a objetos tipo texto + 1 nuevo fichero: • SFRNTCBGb3JtYXQ= (HTML Format) {"formatMetadata":{"Bitmap":{"dataType":"StreamReferenceFile","collection Type":"None","isEncrypted":true}},"sourceAppId":"","property":{}} {"formatMetadata":{"Locale":{"dataType":"Stream","collectionType":"None","isEncrypted":true},"Text":{"dataType":"String"," collectionType":"None","isEncrypted":true},"HTML Format":{"dataType":"String","collectionType":"None","isEncrypted":true}},"sourceAppId":"","property":{}}
  34. 34. Artefactos forenses novedosos de W10. BAM  Background Activity Moderator: servicio que controla actividad en segundo plano de apps en ejecución en SO. • Introducido en v1709 de Windows 10. • Alternativa a Prefetch.  2 ficheros asociados: • %SystemRoot%system32driversdam.sys • %SystemRoot%system32driversbam.sys  2 claves de Registro asociadas • HKLMSYSTEMCurrentControlSetServicesdam • HKLMSYSTEMCurrentControlSetServicesbam
  35. 35. Artefactos forenses novedosos en W10. BAM  Ej. de contenido de subclave UserSettings de la clave bam  Diferencias con respecto a Prefetch cercanas al min. • Volcar los logs transaccionales del Registro lo reduce a 1 seg.
  36. 36. Artefactos forenses novedosos en W10. Timeline  Timeline. Similar a historial de navegador web.  Almacena cronología de actividades realizadas con el SO (Ej. Sitios web visitados, documentos editados, imágenes visualizas o creadas, juegos ejecutados). • Introducido en v1803 de Windows 10  Acceso a través de Vista de Tareas o Windows+Tab
  37. 37. Artefactos forenses novedosos en W10. Timeline
  38. 38. Artefactos forenses novedosos en W10. Timeline
  39. 39. Artefactos forenses novedosos en W10. Timeline  Actividad clasificada por días • Granular por horas.  No todas las aplicaciones reportan su actividad a Timeline. • Microsoft Edge, Microsoft Office 2016, Microsoft Paint, Microsoft Paint 3D, Adobe Reader DC y Xbox.  Forense “en muerto”, tabla Activity de: • %AppData%LocalConnectedDevicesPlatformActivitiesCache.db • Parsear Activity y Activity_PackageId con WxTCmd (Zimmerman).  Limpiar el Historial de actividad desde el panel del sistema no elimina el contenido almacenado en el fichero ActivitiesCache.db
  40. 40. Artefactos forenses novedosos de W10. Timeline
  41. 41. Artefactos forenses novedosos en W10. Timeline  Por defecto, Tiempo de expiración= 30 días • Siempre que se acceda a enviar a Microsoft el historial de actividades, incluyendo información de sitios web.  Pese a que el sistema elimine de la tabla automáticamente la información relacionada con esa actividad • CCL-Forensics Epilog puede recuperar registros eliminados. • recoversqlite, desarrollada por Alejandro Ramos.
  42. 42. Artefactos forenses novedosos de W10. RecentApps  RecentApps: clave del Registro del fichero NTUSER.DAT introducida en Windows 10.  HKU{SID}SoftwareMicrosoftWindowsCurrentVersionSearchRecentApps  Estructura jerárquica en subclaves formato GUID, correspondientes con aplicación accedida por el sistema.  En la clave se almacenan los valores: AppId, AppPath, LastAccessedTime, LaunchCount.  No se puede concluir que los diez GUID presentes determinen los diez últimos ficheros abiertos con esa aplicación.
  43. 43. Artefactos forenses novedosos de W10. Histórico de PowerShell  Histórico de PowerShell: • Primeras versiones: solo almacenaban histórico de comandos ejecutados en sesión actual. • En Windows 10 con >v5 de PowerShell pueden recuperarse últimos comandos ejecutados en PowerShell, incluso tras reiniciar SO. • >v3 PowerShell se almacenan 4096 comandos. %AppData%RoamingMicrosoftWindowsPowerShellPSReadlineConsoleHost_history.txt  Historial de comandos de sesión de las consolas PowerShell y PowerShell ISE se almacena de manera independiente.
  44. 44. Artefactos forenses novedosos de W10. PowerShell
  45. 45. Artefactos forenses novedosos en W10. AMSI  AMSI (Antimalware Scan Interface): Integra aplicaciones y servicios con cualquier producto antimalware presente en el sistema operativo. • Integra con UAC, PowerShell, Windows Script Host, JavaScript, VBScript, Macros VBA.  Diseñada para ofrecer protección de datos y aplicaciones en los endpoints.  Permite escanear ficheros, memoria o streams y comprobación reputacional de URL/IP.
  46. 46. Artefactos forenses novedosos en W10. Centro de Notificaciones  Centro de Notificaciones. Servicio que proporciona información visual en forma de notificaciones o toast notifications.  La mayoría: notificaciones de recepción de email, recordatorios de Tareas y eventos del Calendario, mensajes de Windows Defender, etc.
  47. 47. Artefactos forenses novedosos en W10. Centro de notificaciones
  48. 48. Artefactos forenses novedosos de W10. Centro de notificaciones  Configuración del Centro de Notificaciones:  HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotifications  Ruta de almacenamiento de imágenes relacionadas con Centro de Notificaciones:  HKCUSoftwareMicrosoftWindowsCurrentVersionPushNotificationswpnidm  Timestamp última notificación del Centro de Notificaciones queda almacenada en el valor TimestampWhenSeen de la clave:  HKCUSoftwareMicrosoftWindowsCurrentVersionNotifications
  49. 49. Artefactos forenses novedosos de W10. Centro de notificaciones  El SO almacena por defecto las notificaciones de cada cuenta de usuario en la ruta:  %AppData%LocalMicrosoftWindowsNotifications  Nombre BBDD depende de la versión de Windows 10. • Primeras versiones: fichero binario appdb.dat. • >v1607 de Windows 10: fichero SQLite wpndatabase.db.  Tipos de notificaciones: Toasts, Titles, Badges, Raw.
  50. 50. Artefactos forenses novedosos de W10. Cortana  Cortana: Asistente personal digital. • Establece recordatorios, buscar ficheros locales, búsquedas en la web o contesta preguntas sencillas. • Remite correos electrónicos dictados.  Se integra con los contactos asociados a la cuenta Microsoft del usuario. • Si se asociaron otras cuentas de redes sociales o microblogging (Ej. LinkedIn, Twitter, Facebook), sus contactos también estarán disponibles.  Bajo ningún concepto, todos estos datos acabarán en manos de terceros, están ahí solo para Cortana (y el forense).
  51. 51. Artefactos forenses novedosos de W10. Cortana  El usuario puede interactuar con Cortana: • Escribiendo en el cuadro de búsqueda. • Dictando a través de un micrófono (de que este se encuentre disponible).  Cortana puede recopilar datos cuando el sistema se encuentra con la pantalla apagada debido a un periodo de inactividad o se estableció la pantalla de bloqueo, dependiendo de la configuración que establezca el usuario.
  52. 52. Artefactos forenses novedosos de W10. Cortana  Artefactos forenses de interés asociados con este servicio (en el principio de los tiempos de W10): • 2 BBDD ESE (Extensible Storage Engine)  %AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy AppDataIndexed DBIndexedDB.edb  %AppData%LocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewy LocalStateESEDatabase_CortanaCoreInstanceCortanaCoreDb.dat • CortanaCoreDb.dat-> Ubicaciones del dispositivo, citas y dónde y cuándo se activaron y marcaron como completadas. • Tablas: Geofences, LocationTriggers, Reminders, Triggers.
  53. 53. Artefactos forenses novedosos de W10. Cortana  A partir de v1607, la mayoría de la información que recopila Cortana se almacena en la nube de Microsoft, y esta se solicita conforme es necesitada por el sistema.  Microsoft: Almacena esta información en sus servidores para “aumentar la privacidad del usuario” y “facilitarle la transición entre sus diferentes dispositivos”.  IndexedDB.edb sigue existiendo en v1809, y en v1806 seguía existiendo CortanaCoreDb.dat (v1809??). • No se almacenan en ellas datos del usuario. • Cortana almacena localmente información en JSON para conectar con sus servidores.
  54. 54. Artefactos forenses novedosos de W10. Cortana  La configuración de privacidad de Cortana limita la información que podrá recopilar el DFI. • Si el usuario utiliza el micro conectado al sistema, se generan un conjunto de ficheros temporales WAV de 0 KB bajo la carpeta LocalState • Eliminados cíclicamente por el propio sistema. • Se almacena en un fichero dentro de esta carpeta el SSID de la WiFi a la que se encontraba conectado el sistema.
  55. 55. Artefactos forenses novedosos de W10. OneDrive  OneDrive: servicio cloud de Microsoft. Acceso utilizando cuenta Microsoft.  Integrado con Explorador de Archivos y Microsoft Office.  Acceso: macOS, iOS, Android, navegador web, Microsoft Xbox…  Copia local, descarga primera apertura o abrirlo en cloud.  De interés cuando no se puede acceder a un dispositivo pero sí a otro que tiene acceso a OneDrive utilizando a la misma cuenta Microsoft.
  56. 56. Artefactos forenses novedosos de W10. OneDrive  C:Users<usuario>AppDataLocalMicrosoftOneDrivelogs • Subcarpetas Common, Personal y Setup  Subcarpeta Personal: ficheros SyncEngine, telemetryCache y TraceArchive. • En un sistema con un uso frecuente, estos ficheros se actualizan periódicamente. • Relevancia: Demostrar mediante timestamps fecha aproximada última conexión del usuario al sistema.  C:Users<usuario>OneDrive  NOTA: OneDrive for Business modifica ligeramente la cabecera de los ficheros almacenados en el lado del servidor (no coinciden hashes).
  57. 57. Artefactos forenses novedosos en W10. Mail  Mail almacena los emails como HTML o TXT.  Permite establecer simultáneamente múltiples cuentas de correo y acceder a sus buzones.  %AppData%LocalComms • Subcarpetas Unistore, UnistoreDB y Volatile • Dentro de .Unistoredata (Importantes 3 y 7) Carpeta Contenido 0 Datos Windows Phone 2 Datos de contactos 3 Correos electrónicos 5 Calendario 7 Anexos de correos electrónicos
  58. 58. Artefactos forenses novedosos W10. Mail  Dentro de 3 y 7 más subcarpetas • Nombre con un carácter en el rango [a-z] • Artefactos: Ficheros-> string rango [0-9] y extensión .dat. • Ficheros .dat de 3 son ficheros HTML. • Ficheros .dat de 7 son anexos de los emails.  Correlación emails/anexos mediante BBDD ESE: • %AppData%LocalCommsUnistoreDBstore.vol  Store.vol contiene hasta 63 BBDD. • Cada BBDD contiene tablas HTML. • BBDD: Message, Contact, Appointment, Attachment y Recipient
  59. 59. Muchas gracias por su asistencia

×