Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

#CONPilar18: Piénsatelo dos veces antes de meterla

6.842 visualizaciones

Publicado el

Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2018, (#CONPilar18).

  • Girls for sex in your area are there: tinyurl.com/areahotsex
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
  • Sex in your area is here: www.bit.ly/sexinarea
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
  • Dating for everyone is here: www.bit.ly/2AJerkH
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
  • Sex in your area for one night is there tinyurl.com/hotsexinarea Copy and paste link in your browser to visit a site)
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí

#CONPilar18: Piénsatelo dos veces antes de meterla

  1. 1. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Piénsatelo dos veces antes de meterla
  2. 2. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18
  3. 3. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 About me…
  4. 4. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  5. 5. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabemos…? ¿Sabemos qué ocurre cuando conectamos un dispositivo USB? ¿Sabemos cómo interactúa nuestra información con él? ¿Sabemos qué rastro dejamos atrás, sin ser conscientes de ello? Pruebas efectuadas bajo Windows 7 y bajo Windows 10 Análisis realizado con pequeñas utilidades, sin instalar nada Bajo varios supuestos: Dispositivo USB conectado Dispositivo USB conectado y explorado Dispositivo USB conectado y reparado Dispositivo USB conectado y un fichero abierto
  6. 6. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Herramientas utilizadas Máquinas virtuales de Microsoft https://developer.Microsoft/en-us/Microsoft-edge/tolos/vms FTK Imager https://accessdata.com/product-download/ftk-imager-lite-versión-3.1.1 Strings https://docs.microsoft.com/en-us/sysinternals/downloads/strings Registry Explorer https://ericzimmerman.github.io/ ParseRacWMI https://phx4n6.wordpress.com/2014/01/10/ LECmd https://ericzimmerman.github.io/ LogFileParser https://github.com/jschicht/LogFileParser Thumbcache Viewer https://thumbcacheviewer.github.io/ BrowsingHistoryView https://www.nirsoft.net/utils/browsing_history_view.html PECmd https://ericzimmerman.github.io/ Eventvwr, (Visor de eventos)
  7. 7. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabías que…?
  8. 8. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabías que…?
  9. 9. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y expulsado en W’7
  10. 10. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registro de Windows: • El Registro de Windows es una base de datos, jerárquica y centralizada, que contiene información y configuraciones del sistema y del usuario para equipos con Windows. Estas configuraciones pueden ser desde el fondo del escritorio del usuario hasta la configuración de la zona horaria para el Sistema (El corazón de Windows) WindowsSystem32configSOFTWARE WindowsSystem32configSYSTEM
  11. 11. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSOFTWARE
  12. 12. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSYSTEM
  13. 13. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registro de Windows: • El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos WindowsSystem32configSOFTWARE.LOG1 WindowsSystem32configSYSTEM.LOG1
  14. 14. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSOFTWARE.LOG1
  15. 15. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSYSTEM.LOG1
  16. 16. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registros SetupAPI: • Cuando un dispositivo USB se conecta por primera vez a un sistema Windows, el administrador de PnP consulta el dispositivo para determinar la información sobre el dispositivo, para descubrir qué controladores cargar para ese dispositivo • El administrador Plug and Play (PnP) y el SetupAPI registran información sobre eventos de instalación Windowsinfsetupapi.dev.log Windowsinfsetupapi.ev3
  17. 17. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Windowsinfsetupapi.dev.log
  18. 18. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Windowsinfsetupapi.ev3
  19. 19. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registros de eventos: • Archivo que contiene información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica WindowsSystem32winevtLogsMicrosoft-Windows- DriverFrameworks-UserMode%4Operational.evtx WindowsSystem32winevtLogsSystem.evtx
  20. 20. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows- DriverFrameworks-UserMode%4Operational.evtx
  21. 21. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsSystem.evtx
  22. 22. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Eventos de rastreo, (Event Trace Log): • Seguimiento de eventos para aplicaciones • Registradores automáticos asociados al visualizador de eventos • Controladores que inician y detienen. Los controladores son aplicaciones • Registro de seguimiento de eventos, (.etl), almacena los mensajes de rastreo generados durante las sesiones WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog- System.etl
  23. 23. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog- System.etl
  24. 24. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Proveedor de contexto WDI: • Windows Diagnostic Infrastructure, (WDI) • Registradores automáticos que están se inician automáticamente • Se escribe una selección de eventos en las sesiones • Copias de seguridad de sesiones anteriores de Windows WindowsSystem32wdiLogFilesWdiContextLog.etl.002
  25. 25. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesWdiContextLog.etl.002
  26. 26. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Boot Circular Kernel Context Logger: • Fichero de rastreo de inicio • Se crea cada vez que un perfil inicia sesión por primera vez • Parte de la Infraestructura de diagnóstico de Windows, (WDI) WindowsSystem32wdiLogFilesBootCKCL.etl
  27. 27. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesBootCKCL.etl
  28. 28. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y abierto en W’7
  29. 29. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y ‘reparado’ en W’7
  30. 30. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Repositorio CIM: • Tipos de datos y objetos de datos. • Este archivo parece ser un repositorio CIM, asociado con WMI • Se almacenan las definiciones de recursos gestionados • Se almacena información de configuración y gestión de diferentes recursos. WindowsSystem32wbemReporitoryOBJECTS.DATA
  31. 31. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wbemReporitoryOBJECTS.DATA
  32. 32. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivo de paginación: • Técnica de administración de memoria que funciona como un almacenamiento secundario para la memoria de Windows • Almacena marcas de memoria • Usado cuando lo demanda la memoria física • Fichero de sistema y oculto • Nunca puede ser leído ni accedido por un usuario pagefile.sys
  33. 33. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? pagefile.sys
  34. 34. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Monitor de confiabilidad de Windows: • Herramienta de diagnóstico que registra los cambios existentes en un Sistema • Instalación de software, (cualquier acción sobre ellos) • Instalación de controladores • Información muy complicada de eliminar ProgramDataMicrosoftRACStateDataRacWmiEventData.dat ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
  35. 35. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? ProgramDataMicrosoftRACStateDataRacWmiEventData.dat
  36. 36. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
  37. 37. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y expulsado en W’10
  38. 38. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows- Partition%4Diagnostic.evtx
  39. 39. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows-Kernel- PnP%4Configuration.evtx
  40. 40. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32WDI{86432ª0b-3c7d-4ddf-a89c- 172faa90485d}{96e711c2-fc05-434d-a4c8- 5483b41587bf}snapshot.etl
  41. 41. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y abierto en W’10
  42. 42. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y ‘reparado’ en W’10
  43. 43. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’7
  44. 44. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’7
  45. 45. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserNTUSER.DAT
  46. 46. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserntuser.dat.LOG1
  47. 47. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Accesos directos: • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
  48. 48. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
  49. 49. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
  50. 50. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivos de registro: • Archivo de registro principal del sistema de ficheros NTFS • Contiene registros de todas las transacciones, (acciones), para garantizar la integridad de los datos • Contiene metadatos y atributos que describen un fichero o directorio $LogFile
  51. 51. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
  52. 52. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
  53. 53. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
  54. 54. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Vistas en miniatura: • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados UsersIEUserAppDataLocalMicrosftWindowsExplorerthumbca che*
  55. 55. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthum bcache*
  56. 56. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivos de registro de navegación: • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …) UsersIEUserAppDataWindowsWebCacheV01.log UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
  57. 57. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataWindowsWebCacheV01.log
  58. 58. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
  59. 59. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesBootCKCL.etl
  60. 60. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’10
  61. 61. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? “Listas de salto”, (JumpList): • Colección de archivos LNK almacenados por las aplicaciones • Barra de tareas de acceso rápido a los archivos de una aplicación • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK UsersIEUserAppDataRoamingMicrosoftWindowsRecentAuto maticDestinations5f7b5f1e01b83767.automaticDestinations-ms
  62. 62. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecentA utomaticDestinations5f7b5f1e01b83767.automaticDestination s-ms
  63. 63. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Prefetch: • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
  64. 64. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
  65. 65. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthu mbcache*
  66. 66. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthu mbcache*
  67. 67. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y expulsado 95 coincidencias ASCII Unicode 105 coincidencias Hexadecimal 11 coincidencias en espacio libre del disco duro
  68. 68. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y abierto 95 coincidencias ASCII Unicode 106 coincidencias Hexadecimal 10 coincidencias en espacio libre del disco duro
  69. 69. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y reparado 171 coincidencias ASCII Unicode 140 coincidencias Hexadecimal 16 coincidencias en espacio libre del disco duro
  70. 70. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y fichero abierto 84 coincidencias ASCII Unicode 97 coincidencias Hexadecimal 29 coincidencias ASCII Unicode 27 coincidencias Hexadecimal
  71. 71. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y expulsado 96 coincidencias ASCII Unicode 64 coincidencias Hexadecimal 33 coincidencias en espacio libre del disco duro
  72. 72. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y abierto 96 coincidencias ASCII Unicode 64 coincidencias Hexadecimal 33 coincidencias en espacio libre del disco duro
  73. 73. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y reparado 109 coincidencias ASCII Unicode 59 coincidencias Hexadecimal 28 coincidencias en espacio libre del disco duro
  74. 74. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y fichero abierto 86 coincidencias ASCII Unicode 51 coincidencias Hexadecimal 35 coincidencias ASCII Unicode 32 coincidencias Hexadecimal
  75. 75. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Conclusiones • Conectar un dispositivo USB, a nivel de evidencias, equivale a conectarlo y explorarlo • La información que dejamos atrás se puede extraer incluso de dispositivos USB conectados, que se encuentran cifrados • No existen, a día de hoy, herramientas anti-forenses capaces de eliminar todo este rastro de dispositivos externos. • ¿A nuevas versiones de Windows, más artefactos para jugar? • Piénsatelo dos veces antes de conectar un dispositivo USB • Cuenta hasta 10 antes de abrir un fichero en un dispositivo USB
  76. 76. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¡¡Muchas gracias por su atención!!
  77. 77. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Lo hizo un mago
  78. 78. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 was brought to you by:
  79. 79. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 was brought to you by: ¡¡Muchas gracias!!

×