Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2017, (#CONPilar17), por haber sido ganador del CFP, (Call for Papers), para Rookies.
2. About me…
Marcos Fuentes Martínez
@_N4rr34n6_ | N4rr34n6@protonmail.com
• Especialista en Tecnologías de la Información
y Comunicaciones
• Experto en Derecho Tecnológico e Informática
Forense, (DTIF), por la Unex
• Coautor en el blog ‘Follow the White Rabbit’,
(https://www.fwhibbit.es)
• Premio Bitácoras 2016 al mejor blog de
seguridad informática.
#CONPilar17
3. ¡¡Tenemos un caso!!
• Un Administrador de Sistemas se presenta en la oficina,
antes de su jornada laboral, para realizar algunas tareas de
mantenimiento.
• Se encuentra con un empleado haciendo uso de la estación
de trabajo de su encargado.
• Sospecha que haya podido extraer algún tipo de
información, a través de algún dispositivo externo, cree que
como mucho, unos minutos antes.
• Interviene en el Sistema, extrayendo las evidencias
oportunas.
#CONPilar17
4. ¿Qué se nos pide?
• Identificar todos los dispositivos USB conectados
• Descubrir el último dispositivo USB conectado antes de la
intervención.
#CONPilar17
6. Entorno y herramientas a usar
Sistema Windows 7 virtualizado en VirtualBox
Laboratorio Forense SIFT
The Sleuth Kit
Evtxtract
Regripper
Volatility
Terminal
El sentido común
El cerebro
La Curiosidad
#CONPilar17
14. USBOblivion
¿Una herramienta antiforense?
• Para ello, nos tenemos que hacer algunas preguntas
– Qué dice que hace?
– Qué vemos que hace?
– Qué hace realmente?
https://sourceforge.net/projects/usboblivion/
http://www.cherubicsoft.com/en/projects/usboblivion
#CONPilar17
15. ¿Qué dice que hace?
Elimina todas las trazas de
dispositivos USB
conectados.
#CONPilar17
17. Su código
// Files to delete (Ficheros a eliminar)
// Event logs to clear (Registros de eventos a limpiar)
// Запустить себя как админа (Comenzar como administrador)
// Запуск #1: с привелегиями (Operación nº 1: con privilegios)
// Запуск #2: без привелегий (Operación nº 2: sin privilegios)
// Для перечисления всех процессов (Para obtener una lista de todos los procesos)
// Для отключения дисков (Para desactivar el disco)
// Нужен токен с имперсонацией (¿Necesita un token de suplantación?)
// Вход под системным аккаунтом (Inicie sesión con la cuenta del sistema)
// Перечисление всех подключей (Enumerar todas las subclaves)
// Удаление всех подключей (Eliminar todas las subclaves)
// Удаление самого ключа (Eliminación de la clave)
// Симуляция (Simulación)
// Creation of System Restore Point (Creación de un punto de restauración)
#CONPilar17
21. ¿Qué es lo que dice que elimina?
C:Windowssetupact.log
C:WindowsPanthersetupact.log
C:WindowsPantherUnattendGCsetupact.log
C:WindowsSystem32sysprepPantherIEsetupact.log
#CONPilar17
22. ¿Qué es lo que dice que elimina?
C:Windowssetuperr.log
C:WindowsPanthersetuperr.log
C:WindowsPantherUnattendGCsetuperr.log
C:WindowsSystem32sysprepPantherIEsetuperr.log
#CONPilar17
23. ¿Qué es lo que dice que elimina?
C:Windowsinfsetupapi.app.log
C:Windowsinfsetupapi.dev.log
#CONPilar17
24. ¿Qué es lo que dice que elimina?
C:Windowsinfsetupapi.offline.log
#CONPilar17
34. USBOblivion
¿Una herramienta antiforense?
• Para ello, nos tenemos que hacer algunas preguntas
– Qué dice que hace?
– Qué vemos que hace?
– Qué hace realmente?
https://sourceforge.net/projects/usboblivion/
http://www.cherubicsoft.com/en/projects/usboblivion
#CONPilar17
35. ¿Qué vemos que hace?
“El ataque de los clones”
#CONPilar17
44. USBOblivion
¿Una herramienta antiforense?
• Para ello, nos tenemos que hacer algunas preguntas
– Qué dice que hace?
– Qué vemos que hace?
– Qué hace realmente?
https://sourceforge.net/projects/usboblivion/
http://www.cherubicsoft.com/en/projects/usboblivion
#CONPilar17
46. Y este ‘tostón’, ¿Por qué?
Porque es necesario…
- Conocer qué hace
- Saber cómo lo hace
Para…
- Conocer qué no hace
- Saber qué buscar
Porque esta herramienta la ha escrito una persona
Porque quien ejecute esta herramienta es una persona
#CONPilar17
Porque las personas cometemos errores