Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2017, (#CONPilar17), por haber sido ganador del CFP, (Call for Papers), para Rookies.

1. Ser curioso NO es una opción
#CONPilar17

2. About me…
Marcos Fuentes Martínez
@_N4rr34n6_ | N4rr34n6@protonmail.com
• Especialista en Tecnologías de la Información
y Comunicaciones
• Experto en Derecho Tecnológico e Informática
Forense, (DTIF), por la Unex
• Coautor en el blog ‘Follow the White Rabbit’,
(https://www.fwhibbit.es)
• Premio Bitácoras 2016 al mejor blog de
seguridad informática.
#CONPilar17

3. ¡¡Tenemos un caso!!
• Un Administrador de Sistemas se presenta en la oficina,
antes de su jornada laboral, para realizar algunas tareas de
mantenimiento.
• Se encuentra con un empleado haciendo uso de la estación
de trabajo de su encargado.
• Sospecha que haya podido extraer algún tipo de
información, a través de algún dispositivo externo, cree que
como mucho, unos minutos antes.
• Interviene en el Sistema, extrayendo las evidencias
oportunas.
#CONPilar17

4. ¿Qué se nos pide?
• Identificar todos los dispositivos USB conectados
• Descubrir el último dispositivo USB conectado antes de la
intervención.
#CONPilar17

5. La adquisición
#CONPilar17

6. Entorno y herramientas a usar
Sistema Windows 7 virtualizado en VirtualBox
Laboratorio Forense SIFT
The Sleuth Kit
Evtxtract
Regripper
Volatility
Terminal
El sentido común
El cerebro
La Curiosidad
#CONPilar17

7. Identificando las evidencias
#CONPilar17

8. Identificando las evidencias
#CONPilar17

9. Identificando las evidencias
#CONPilar17

10. Búsqueda del dispositivo
¿Ya está?
#CONPilar17

11. ¿Qué ha pasado?
#CONPilar17

12. El café tendrá que esperar
#CONPilar17

13. Timeline
#CONPilar17

14. USBOblivion
¿Una herramienta antiforense?
• Para ello, nos tenemos que hacer algunas preguntas
– Qué dice que hace?
– Qué vemos que hace?
– Qué hace realmente?
https://sourceforge.net/projects/usboblivion/
http://www.cherubicsoft.com/en/projects/usboblivion
#CONPilar17

15. ¿Qué dice que hace?
Elimina todas las trazas de
dispositivos USB
conectados.
#CONPilar17

16. Su código
• https://sourceforge.net/p/usboblivion/code/HEAD/tree/
• https://sourceforge.net/code-
snapshots/svn/u/us/usboblivion/code/usboblivion-code-
73-trunk.zip
#CONPilar17

17. Su código
// Files to delete (Ficheros a eliminar)
// Event logs to clear (Registros de eventos a limpiar)
// Запустить себя как админа (Comenzar como administrador)
// Запуск #1: с привелегиями (Operación nº 1: con privilegios)
// Запуск #2: без привелегий (Operación nº 2: sin privilegios)
// Для перечисления всех процессов (Para obtener una lista de todos los procesos)
// Для отключения дисков (Para desactivar el disco)
// Нужен токен с имперсонацией (¿Necesita un token de suplantación?)
// Вход под системным аккаунтом (Inicie sesión con la cuenta del sistema)
// Перечисление всех подключей (Enumerar todas las subclaves)
// Удаление всех подключей (Eliminar todas las subclaves)
// Удаление самого ключа (Eliminación de la clave)
// Симуляция (Simulación)
// Creation of System Restore Point (Creación de un punto de restauración)
#CONPilar17

18. Su código
“Correr como Sistema”
#CONPilar17

19. Su código
“Ficheros para eliminar”
#CONPilar17

20. ¿Qué son estos ficheros?
#CONPilar17

21. ¿Qué es lo que dice que elimina?
C:Windowssetupact.log
C:WindowsPanthersetupact.log
C:WindowsPantherUnattendGCsetupact.log
C:WindowsSystem32sysprepPantherIEsetupact.log
#CONPilar17

22. ¿Qué es lo que dice que elimina?
C:Windowssetuperr.log
C:WindowsPanthersetuperr.log
C:WindowsPantherUnattendGCsetuperr.log
C:WindowsSystem32sysprepPantherIEsetuperr.log
#CONPilar17

23. ¿Qué es lo que dice que elimina?
C:Windowsinfsetupapi.app.log
C:Windowsinfsetupapi.dev.log
#CONPilar17

24. ¿Qué es lo que dice que elimina?
C:Windowsinfsetupapi.offline.log
#CONPilar17

25. Su código
“Eventos a limpiar”
#CONPilar17

26. ¿Qué son estos ficheros?
#CONPilar17

27. ¿Qué información dice que limpia?
#CONPilar17

28. Su código
“Claves del Registro de Windows a eliminar”
#CONPilar17

29. ¿Qué son estos ficheros?
#CONPilar17

30. ¿Qué información dice que elimina?
ControlClass
ControlDeviceClasses
EnumSTORAGEVolume
EnumUSBSTOR
ServicesUSBSTOREnum
EnumWpdBusEnumRootUMB
Hardware Profiles0000SystemCurrentControlSetEnumUSBSTOR
SOFTWAREMicrosoftWBEMWDM
SOFTWAREMicrosoftWBEMWDMDREDGE
SOFTWAREMicrosoftWindows NTCurrentVersionEMDMgmt
SOFTWAREMicrosoftWindows Portable DevicesDevices
SOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersKnownDevices
SOFTWARESoftwareSafelyRemoveDrives
SOFTWAREClassesLocal SettingsSoftwareMicrosoftWindowsShellMuiCache
SOFTWAREClassesLocal
SettingsSoftwareMicrosoftWindowsCurrentVersionSyncMgrHandlerInstances
#CONPilar17

31. Su código
“Elevación de privilegios y procesos”
#CONPilar17

32. ¿Qué procesos usa?
• lsass.exe
• smss.exe
• csrss.exe
• services.exe
• winlogon.exe
#CONPilar17

33. Sabiendo esto…
#CONPilar17

34. USBOblivion
¿Una herramienta antiforense?
• Para ello, nos tenemos que hacer algunas preguntas
– Qué dice que hace?
– Qué vemos que hace?
– Qué hace realmente?
https://sourceforge.net/projects/usboblivion/
http://www.cherubicsoft.com/en/projects/usboblivion
#CONPilar17

35. ¿Qué vemos que hace?
“El ataque de los clones”
#CONPilar17

36. Ejecución desde HDD sin USB
#CONPilar17

37. Ejecución desde HDD con USB
#CONPilar17

38. Ejecución desde USB con USB
#CONPilar17

39. Ejecución desde USB sin USB
#CONPilar17

40. Ejecución desde CMD, (modo silencioso)
#CONPilar17

41. Ejecución desde CMD
#CONPilar17

42. RegShot
#CONPilar17

43. RegShot
#CONPilar17

44. USBOblivion
¿Una herramienta antiforense?
• Para ello, nos tenemos que hacer algunas preguntas
– Qué dice que hace?
– Qué vemos que hace?
– Qué hace realmente?
https://sourceforge.net/projects/usboblivion/
http://www.cherubicsoft.com/en/projects/usboblivion
#CONPilar17

45. Y este ‘tostón’, ¿Por qué?
#CONPilar17

46. Y este ‘tostón’, ¿Por qué?
Porque es necesario…
- Conocer qué hace
- Saber cómo lo hace
Para…
- Conocer qué no hace
- Saber qué buscar
Porque esta herramienta la ha escrito una persona
Porque quien ejecute esta herramienta es una persona
#CONPilar17
Porque las personas cometemos errores

47. ¿Crea un punto de restauración?
#CONPilar17

48. ¿Crea un punto de restauración?
#CONPilar17

49. ¿Crea un punto de restauración?
#CONPilar17

50. ¿Elimina el fichero setupact.log?
#CONPilar17

51. ¿Elimina el fichero setuperr.log?
#CONPilar17

52. ¿Elimina el fichero setupapi.app.log?
#CONPilar17

53. ¿Elimina el fichero setupapi.dev.log?
#CONPilar17

54. ¿Elimina el fichero setupapi.offline.log?
#CONPilar17

55. ¿Elimina el fichero INFCACHE.1?
#CONPilar17

56. ¿Limpia los eventos?
#CONPilar17

57. ¿Limpia los eventos?
#CONPilar17

58. ¿Limpia los eventos?
#CONPilar17

59. ¿Elimina claves del registro?
#CONPilar17

60. ¿Elimina claves del registro?
#CONPilar17

61. ¿Dónde más?
#CONPilar17

62. ¿Dónde más?
#CONPilar17

63. ¿Dónde más?
#CONPilar17

64. ¿Qué dice que hace?
Elimina todas las trazas de dispositivos USB conectados.
#CONPilar17

65. ¿Qué hace realmente?
#CONPilar17

66. Nos la hemos ganado!!
@JagmTwit
www.evidencias.es
informaticoforense.eu#CONPilar17

67. Pero antes…
#CONPilar17

68. Pero antes…
#CONPilar17

69. Pero antes…
#CONPilar17

70. Pero antes…
#CONPilar17

71. ¡¡Muchas gracias por su atención!!
“Hack, learn, share”
&
Follow The White Rabbit

72. Lo hizo un mago
“Hack, learn, share”
&
Follow The White Rabbit
#CONPilar17