Forensic en Windows – RadioGraPhy 1.0
A la hora de realizar un forense es de mucha utilidad el poder obtener una “foto” del sistema en la que podamos obtener información relacionada con servicios, procesos ocultos.. etc
Una herramienta que nos facilita esta foto es RadioGraPhy 1.0, esta herramienta desarrollada por Yago Jesús nos ayuda en esta tarea, podemos ver una foto del software aquí:
Que caraterísticas tiene el software:
- Las claves del registro asociadas al auto-arranque de procesos
- Las claves del registro asociadas a la configuración de IE
- Las cuentas de usuario del sistema
- Los ficheros en directorios ‘startup’
- Los servicios del sistema
- El contenido del fichero ‘hosts’
- Los ‘task’ del scheduler de windows
- Los drivers o módulos cargados en el Kernel de Windows
- Carpetas compartidas por NetBios
- Ventanas ocultas (cmd y IE)
- La lista de procesos activos en el sistema y el path del ejecutable
- Información relacionada con la red (puertos abiertos, conexiones, etc)
En mi caso, me he infectado con un malware que además se copia en la carpeta de Aplication Data quería ver si RadioGraphy es capaz de detectarlo, en mi caso:
Bingo, ha detectado el binario modificado!
Os animo a probar la herramienta ya que seguro que con un par de añadidos que podamos sugerirle a Yago se convierte en una herramienta que va a usar mucha gente.
Yago ya lleva en la comunidad aportando aparte de conocimiento herramientas, podéis consultarlas aquí
Para descargar la herramienta podemos descargarla de aquí, o del backup en code google
Forensic FOCA
Hola!
Muy buenas a todos/as!
Si, otra herramienta llamada FOCA! Si seguís este blog o el de Chema os sonará el nombre de la herramienta.
FOCA es una de las herramientas mas útiles en la parte de fingerprinting. Te ayuda en el tema de metadatos, vulnerabilidades, la parte de descubrir roles, servidores etc…
Desde hacía tiempo barajaban ideas de poder hacer una versión para analistas forenses.
Esta versión al igual que la FOCA Pro será de pago, aunque no es cara ni mucho menos. No hay excusa para no comprar si os gusta.
Para descargar la versión de prueba de la FOCA podemos encontrarla aquí.
Una vez descargada la herramienta, solo tenemos que instalarla, una vez hecho iniciamos la herramienta.
La interfaz está muy cuidada como pasaba con la versión de la FOCA.
EL siguiente paso,
En un análisis forense no haremos la parte de recolección de documentos dado un dominio web como teníamos con FOCA, así que le indicamos el Source desde donde Forensics FOCA emepzará la recolección de documentos.
En la versión trial sólo nos deja documentos word, ejecutables e imágenes. En mi caso he hecho la prueba con un único Word.
En el proceso del análisis forense será necesario tener una integridad de los ficheros es por eso que Forensic FOCA nos permite realizar el MD5 SHA-1 etc..
Eso si es una opción que sea recursiva así puedes añadir la carpeta padre! 
Aquí tenemos un perfecto resumen del documento, tenemos un resumen de los datos mas importantes, para una vista previa del análisis es perfecto.
Esta parte sin duda es la mas buscada por la herramienta que sea capaz de hacer un timeline de sucesos es una de las partes mas buscadas ya que la faena del analista es mucho mas sencilla para saber que ha pasado.
Y por último
Igual que estábamos acostumbrados con FOCA, tenemos un listados de la información que ha podido extraer, como por ejemplo suaurios, carpetas, contraseñas etc….
Sin duda una herramienta muy interesante y lo mas importante, para los amantes de una GUI gráfica es hacer varios clicks para extraer mucha información útil.
Saludos
NetworkMiner, analizando un pcap
Hola!
Muy buenas a todos/as!
Cuando capturamos, por ejemplo, con Wireshark el tráfico de red, el formato de salida es un pcap. Este pcap podemos leerlo con el propio Wireshark o podemos pasarle herramientas y extraer aquella información quenos interese de manera útil.
Una de esas herramientas es NetworkMiner, yo para la prueba he ejecutado un troyano pendiente de analizar y me he guardado el pcap, y ahora veremos la salida del arechivo que ha generado.
Este es el aspecto de NetworkMiner, NetworkMiner nos permite también hacer la parte de capturar el tráfico. Como nosotros ya tenemos la captura ahora sólo tenedremos que abrir el archivo pcap
Aquí podemos ver que el troyano en cuestión ha echo varias conexiones a Wanadoo.
Además podemos observar que por SMTP, ha enviado unas credenciales en texto plano.
Extraemos del pcap las sesiones establecidas, entre ellas SSL y SMTP.
Y las resoluciones DNS.
habéis podido comprobar que con varios clics es sencillo extraer de manera sencilla cierta información del pcap.
Un saludo
Microsoft Coffee
Un día mas, podemos encontrar una suite de herramientas con la que podemos extraer información de un equipo.
Una suite de herramientas desarrollada en principio por Microsoft. Además que la puedes llevar en tu USB.
Se trata de Microsoft Coffee.
Que es y de que está formado Microsoft Coffee?
es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales en junio pasado.
El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.
Una vez descargada la herramienta, vamos a crear la unidad USB.
Creando USB Coffee
Ejecutamos COFFE.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Coffee
Ya tenemos nuestra unidad USB comprobemos…
Como veis aqui tenemos nuestra unidad USB Coffee.
Ahora vamos a utilizar Coffee
Utilizando Cofffee
En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…
Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.
En cada una de esas carpetas hay información obtenida de nuestro equipo.
Información extraída
Después de los test que se han realizado, podemos entrar en alguna de las carpetas y ver la información extraída:
Aquí podemos ver que ha sacado una información de los servicios que hay sobre nuestra máquina.
Y ya está!
Como podéis comprobar la herramienta está muy bien y además echa por la gente de Redmon.
Saludos.
