Professional Documents
Culture Documents
INTRODUCCIÓN
Dentro de estos mecanismos nos encontramos con el análisis de memoria RAM volátil, el
cual hace referencia a un conjunto de procedimientos y herramientas que permiten la
recopilación y análisis de la información almacenada de manera temporal en la memoria
RAM, lo anterior dado que su funcionalidad de almacenamiento de datos e instrucciones
se encuentra limitada a una fuente de poder.
Este análisis permite dar respuesta a incidentes y generar estudios que den como
resultado la recuperación de la información de los programas y los datos que están siendo
procesados como los fragmentos de comunicaciones; claves de cifrado; procesos;
dispositivos de almacenamiento móviles, archivos abiertos; estructuras de red, de
aplicación y del sistema operativo, para hacer frente a temas relacionados con la
seguridad informática.
El documento pretende ser una guía práctica de los pasos a seguir en el proceso de
recopilación de las evidencias planteadas, explicando en qué consiste, para qué sirve, su
funcionalidad y la metodología para llevarla a cabo entre otras.
CONCEPTOS
Imagen Forense: Llamada también "Espejo" en inglés "Mirror", la cual es una copia bit a
bit de un medio electrónico de almacenamiento. En la imagen quedan grabados los
espacios que ocupan los archivos, áreas borradas incluyendo particiones escondidas.
Analisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de
información relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la
firma del archivo o hash (indica la integridad del archivo), autor, tamaño, nombre y ruta,
así como su creación, último acceso y fecha de modificación.
Preservación: Esta fase es muy importante porque es el punto de partida para el proceso
de análisis. Es aquí donde debemos procurar garantizar que el procedimiento o
metodología que vayamos a aplicar sea el más adecuado para evitar la manipulación
indebida o que se pierdan las evidencias que deben ser recopiladas para su posterior
análisis. En muchas ocasiones al desconocer elementos sencillos pero vitales en este
proceso puede provocar que se pierda información relevante y que pudiera haber
resultado decisiva al momento de solucionar el incidente o demostrar que es una
evidencia que debe ser tenida en cuenta como material probatorio en un caso. De
acuerdo a un artículo en internet en la página de incibe.es dejan muy en claro que
aspectos críticos como que no se apaguen los equipos para poder preservar la
información volátil o la correcta rotulación de los elementos a analizar se realizan deben
ser vitales cuando nos encontramos en esta etapa. En un país como Colombia la
preservación de la información cobra mucha importancia por los posibles casos de
corrupción que puedan presentarse si estamos hablando que es material para demostrar
la culpabilidad o participación de algún delito, es por eso que las personas que tienen a
cargo este proceso sea una persona íntegra, que cuente con el conocimiento requerido
para que pueda llevar a cabo su trabajo de la manera profesional con el fin de evitar
desviaciones o manipulación indebida de la información. Continuando con las
recomendaciones del caso se debe mantener un registro continuo de todas las
operaciones que se vayan realizando sobre el material que estemos revisando, se debe
tener muy claro que debemos procurar siempre conservar la validez jurídica de las
evidencias que se recopilen. Una recomendación es que si los materiales deben ser
transportados, este se debe realizar con sumo cuidado y si contamos con los recursos por
medio de un maletín forense, en ese sentido evitando que la información sea alterada o
que se vea expuesta a temperaturas extremas y campos electromagnéticos.
Adquisición: Esta es la fase donde está el grueso del análisis, porque es aquí donde se
explicará con el mayor detalle los hallazgos que se convertirán en evidencias. Es
importante que se tenga presente que una evidencia puede ser definida como cualquier
prueba que pueda ser utilizada en un proceso legal.
● Auténtica: Debe ser verídica y no haber sufrido manipulación alguna. Para ello,
deben haberse sacado los correspondientes hashes con el fin de asegurar la
integridad.
Dependiendo del caso puede resultar muy útil analizar en profundidad diferentes
aspectos como hora y fecha del sistema, este es muy relevante porque te da puntos de
partida y son material probatorio al momento de un hallazgo. Además que de contar con
una línea temporal te permitirá desarrollar de una manera ordenada y clara este proceso.
Realizar un volcado de la información que se encuentra en la memoria del equipo sujeto a
análisis. Una buena práctica después de haber realizado el anterior proceso es sacar el
hash a los archivos y la evidencia obtenida, esto con el fin de que la información sea
confiable y dar elementos suficientes al momento de demostrar ante unas autoridades
que la información es la correcta y que no ha sufrido ningún tipo de cambio
posteriormente. Es mucha la información que podemos revisar producto del volcado de la
información, aquí listamos algunas que pueden ser útiles:
Es fundamental que todo el proceso sea realizado desde un punto de vista objetivo, no se
puede descartar elementos que pueden aparentar ser obvios, siempre visualizar el caso
de estudio.
CARACTERÍSTICAS EN EL ANÁLISIS
En el proceso de análisis es importante identificar los siguientes principios:
Verificable: Está busca que sea comprobable la veracidad de las conclusiones extraídas a
partir de la realización del análisis.
Reproducible: Tener siempre disponible en todo momento las pruebas realizadas durante
el proceso.
Independiente: Uno de los objetivos es que las conclusiones deben ser las mismas, sin
importar la persona que esté realizando el proceso y de la metodología que utilizó.
CADENA DE CUSTODIA
LA METODOLOGÍA
Como bien sabemos, existen diferentes tipos de metodologías para la atención de este
tipo de situaciones, todas por lo general tienen algo en común, como por ejemplo sus
fases. En la presente guía se han aplicado algunos conceptos de la metodología para la
recopilación de evidencias y su almacenamiento RFC 3227. Esta metodología ha permitido
clarificar y evidenciar los aspectos que se deben tener en cuenta al momento de atender
un incidente. Cabe resaltar de la metodología sus recomendaciones sobre las acciones que
se deben evitar, aquí listamos algunas:
Se debe recordar que los forense que atenderán este tipo de incidentes deberán evitar
realizar algunas de esas acciones con el fin de no invalidar el proceso de recolección y
análisis de la información, ya que debe preservarse su integridad con el fin de que los
resultados obtenidos puedan ser utilizados como material probatorio en una instancia
judicial.
CASO DE EJEMPLO
IDENTIFICACIÓN DE EVIDENCIA
En este caso, se trata de una computadora de escritorio con los siguientes componentes
externos:
● Torre
● Monitor
● Teclado
● Mouse
● Impresora
1. PRESERVACIÓN DE EVIDENCIA
A la imagen de la memoria se le obtienen los hash en codigo MD5, SHA1, CRC32, SHA-256,
SHA-512 usando la herramienta “hashmyfiles”, y se procede a extraer y conservar el
dispositivo USB que contiene la imagen con la evidencia Digital.
==================================================
Filename : memdump.mem
MD5 : 1a59f58dbc3b23e9ab751ae4da97c2f9
SHA1 : d90688dcacb06191878d64346cbdea9e1a07a7f7
CRC32 : a50aab08
SHA-256 :
ed159657f0cc8f745265a92f016b9bc874e54d5f38ecba6dc2139fe7a2b21ce9
SHA-512 :
9b7838f3863b60f4847fc2595ecb3c4ea66e0c5db48e9efe8ef8dc365a29207cf693eaab7b0e
dc481ac02ba5db16fb763bce721e633e9864cda0fcd8feff3065
Full Path : H:\Evidencia RAM\memdump.mem
Modified Time : 01/12/2015 22:47:21
Created Time : 01/12/2015 22:44:53
File Size : 771.686.400
File Version :
Product Version :
Identical :
Extension : mem
File Attributes : A
==================================================
2. ANÁLISIS DE EVIDENCIA
Se inicia el O.S Kali Linux en modo usuario root y se ejecuta por medio de consola el
siguiente comando: volatility imageinfo (Ruta de la Imagen), este comando nos permite
conocer la información acerca de la imagen a analizar como fecha de creación, tio de
sistema operativo, etc., como se puede observar en la siguiente imagen:
Ahora procedemos a analizar el perfil y los procesos de la sesión, para ello ejecutamos el
comando:
volatility --profile=WinXPSP3x86 sessions -f /root/Desktop/Evidencia\
RAM/memdump.mem
Al ejecutar el sistema nos muestra los procesos que hubo en la sesión como se observa en
la siguiente imagen:
Luego se analiza las líneas ejecutadas por comando MS-DOS, para ello se ejecuta el
comando:
Esto nos permite conocer las líneas de comando utilizados por medio de consola, como se
puede ver en la siguiente imagen:
En la imagen anterior podemos observar que se ejecutó el proceso CSRSS.EXE nombre con
el cual algunos malware se camuflan mediante dicho nombre como por ejemplo el gusano
W32.Netsky.AB.
Ahora se procede a analizar los procesos o hilos que interactuaron con el portapapeles:
Para ello se utiliza el comando wndscan:
En la imagen anterior podemos observar que hubo interacción desde consola, debido a
que está activo el proceso cmd.exe que es el que ejecuta el modo consola en Windows y
de igual manera después de 50 líneas de comando realizan salida del modo MS-DOS.
Luego se procede si habia algun trabajo activo de algun link, se utiliza el comando joblinks:
Debido a que el equipo en el momento de la recoleccion de la evidencia no tenia conexión
a internet, el analisis nos muestra que no se tenia ninguna conexión activa por medio de
links:
Luego se procede analizar el puerto 608 del proceso CSRSS.exe para conocer si hubo algún
cambio en las cuentas de usuario:
Finalmente se procede a validar que usuarios están creados y su respectivo orden, para
ello se analiza con el comando hivelist que nos permite ver las secciones del registro y
ruta completa en la memoria.
Luego procedemos a analizar la ruta hexadecimal (física) del archivo SAM el cual guarda
los registro de usuario y su respectiva contraseña; para ello utilizamos el comando
hashdump:
CONCLUSIONES
El atacante encontró el equipo encendido y con la sesión abierta. Posteriormente crea una
nueva cuenta en el sistema operativo usando la consola MS-DOS.
BIBLIOGRAFÍA
http://tools.kali.org/forensics/volatility
https://code.google.com/p/volatility/