Mòdul Professional 4: Anàlisi forense informàtic - Anàlisi d'Evidències Artefactes a MS Windwos

Índex

1 Prefetch

És una característica afegida a partir de Windows XP on es guarda a la carpeta %WINDIR%\Prefetch informació i parts dels binaris que normalment s'inicien en l'arrencada al sistema i facilita l'inici del sistema es faci més ràpid. Es pot consultar amb visors com WinPrefetchView de Nirsoft.

La informació que es conté és path, data i hora de creació i última execució així com dependències en els primers 30 segons d'execució. També informació sobre el disc GUID i creació de la unitat (útil per detectar unitats externes).

En versions superiors de Windows, també s'emmagatzema informació per cada procés en format base de dades (AG*.db), dins de la mateixa carpeta i apareix l'opció de deshabilitar aquesta característica (anomenada ara SuperFetch).

Si es detecta que el sistema està instal·lat en SSD, Superfetch descativa varies funcionalitats com BootReady i a si mateix.

2 Logs

En la carpeta de sistema %WINDIR% existeixen logs. També es creen durant la instal·lació

windowsInstallLogs.jpg

Figure 1: Logs creats durant la instal·lació del sistema.

Els logs principals i que contenen informaicó més rellevant són:

%WINDIR%\setupact.log
Accions de instal·lació.
%WINDIR%\setuperr.log
Errors d'instal·lació.
%WINDIR%\WindowsUpdate.log
Actualitzacions de sistema i aplicacions.
%WINDIR%\Debug\mrt.log
Eliminació de malware de Windows.
%WINDIR%\securitylog\scecomp.old
Events relacionats amb les actualitzacions.
%WINDIR%\Logs\CBS\CBS.log
Arxius que no s'han pogut reparar del "Windows Resource Protection".
%AppData%\setpapi.log
Informació sobre unitats, service packs i hotfixes.
%WINDIR%\$Windows.~BT\Sources\Panther\*{.log},{.xml}
Informació sobre l'actualització d'una versió de Windows a un altre.
%WINDIR%\PANTHER\*{.log}.{.xml}
Ídem a l'anterior.
%WINDIR%\INF\setupapi.dev.log
Informació sobre unitats de Plug and Play i instal·lació de drivers.
%WINDIR%\INF\setupapi.app.log
Informació sobre el registre de l'instal·lació d'aplicacions.
%WINDIR%\Performance\Winsat\winsat.log
Traçes de l'aplicació WINSAT que medeix el rendiment del sistema.
%WINDIR%\System32\config
Conté logs de Windows (visor d'events).
%WINDIR%\Ssystem32\winevt\Log
Ídem a l'anterior.

3 Fitxers d'hibernació

Si la màquina compleix els requisits ACPI i Plug-and-Play permet la funcionalitat de hibernació, que es materialitza en l'arxiu hiberfil.sys que té una mida total igual a la memòria RAM. Aquest arxiu és una compressió directe de la memòria RAM, que caldrà descomprimir amb eines específiques (hibr2bin), o utilitzant volatility per generar una imatge raw.

4 Volume Shadow Copy Service

En sistemes NTFS existeix el VSS (Volume Shadow Copy Service), que s'utilitza per backups de forma automatitzada.

Aquest sistema crea "snapshoots" del sistema d'arxius de manera que aquesta instantànea és coherent en sí mateixa (manté integritat) i permet que sigui copiada amb un sistema de còpies/ mentre la resta del sistema continua treballant i escrivint en el sistema d'arxius original.

Pot ser d'utilitat forense ja que aquesta instantània pertany a "un moment passat" i per tant pot contenir infromació que en la imatge forense s'ha perdut o modificat.

5 Registres del sistema

El registre de MS Windows és una BBDD jeràrquica que conté de forma organitzada varis registres consistents en una parella de clau i valors, també pot contenir subclaus. Aquests registres contenen informació sobre la configuració i ajustos del sistema, i és utilitzat per pràcticament tots els components del mateix com per exemple: el kernel, drivers, serveis, la SAM, la GUI i aplicacions de tercers.

L'aplicació "base" per treballar amb el registre és regedit.exe i sempre podrem exportar i importar a aquesta app. Altres aplicacions com Windows Registry Recovery o RegRipper.

Algunes claus interessants a repassar en tot forense són:

HKEY_CLASSES_ROOT
Informació sobre aplicacions registrades i associacions d'arxius.
HKEY_CURRENT_USER
Configuracions de l'usuari actual.
HKEY_LOCAL_MACHINE
Configuracions del sistema.
HKEY_USERS
Configuracions de la resta d'usuaris.
HKEY_CURRENT_CONFIG
Informació del maquinari.
HKEY_PERFORMANCE_DATA
Dades del rendiment.

5.1 Llistes MRU

Most Recently Used o llistes MRU contenen el que podem esperar per el seu nom, i l'utilitat forense és evident. N'hi han varies escampades pel reistre de Windows. De forma genèrica contenen claus de les execucions de l'usuari i una clau anomenada MRUList que defineix com s'han de llegir aquestes claus (en quin ordre).

Aquestes llistes són:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Comandes executades al terminal.
HCU\Software\Microsoft\Windows\CurrentVerion\Explorer\UserAssist
Programes executats per l'usuari, conteix i data d'última execució.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Conté les xarxes wifi on s'ha connectat el sistema i el seu SSID.
HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR
Emmagatzema el device ID dels dispositius USB connectats.
HKLM\SYSTEM\MountedDevices
Conté una base de dades sobre el volums muntats amb sistema NTFS.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptions
Conté informació sobre els equips amb qui s'ha tingut relació dins la xarxa local.

6 Events EVTX

Els events EVTX són els que podem veure directament amb el visor d'events de Windows. Aquests es classifiquen en:

Events d'aplicacions
Errors, advenrtències o informació relacionades amb les alicacions del sistema.
Events de seguretat
Correctes o errors. Es defineixen a les auditories del sistema.
Events de configuració
Events del sistema
Ídem que d'aplicació però referents al propi Windows.
Events reenviats
Events que arriben a aquest registre provinents d'altres equips.

7 Enllaços LNK

L'eina Link-Parser de 4Discovery permet extreure la informació dels enllaços a executables de windows (menú Windows-Programs) on podem trobar informació interessant com últim accés, MAC, Volum ID, Host, etc.

8 Navegació

Els navegadors són de nou actors principals en moltes actuacions forense. Per veure'n la informació podem utilitzar varies eines, com per exemple Browsing History View que permet veure l'historial de navegació de caris navegadors (explorer, firefox, chrome i safari).

Altres eines com ChromeCacheView, IECacheView, MozillaCacheView i OperaCacheView permeten veure els caché dels navegadors i les seves metadades.

MyLastSearch retorna les cerques realitzades en eines de cerca i xarxes socials.

També fer esment de les cookies i l'interes de les dades que poden contenir. Tanmateix tan sols trobarem les cookies actuals o persistents.

9 Paperera de reciclatge

La paperera de reciclatge, que emmagatzema els arxius eliminats (sense utilitzar Shift + Supr) pot variar de mida i format entre les diferents versions de Windows, per tant cal utilitzar una eina específica per a la versió que estem analitzant. Tanmateix si podem dir que en versions mes noves es manté que està dins l'arrel del volum mantenint un format DRIVE:\$RECYCLE.BIN\SID i que existeix una paperera diferent per a cada usuari del sistema.

La paperera conté dos arxius per cada element eliminat, que començen per $I i $R respectivament i continuen amb 6 caràcters aleatoris. El primer, $I, conté les metadades de l'arxiu; mida, data i hora d'eliminació i path d'origen. El segon, $R, conté l'arxiu en si mateix.

10 Metadades

Les metadades dels arxius poden contenir informació molt important en l'anàlisis forense i no hem d'obviar-los. Eines com Foca Free o Exiftool són les més típiques, junt amb el fet que la major part de frameworks forenses ja les incorporen i permeten veure les metadades de forma ràpida.

Com a metadades no tan sols podem trobar la infromació referent a l'arxiu en si mateix, sinó software utilitzat, rutes de xarxa, impressores on s'ha imprés un document, noms d'usuari que hi han accedit o l'han modificat, noms de host, etc.

11 Thumbnails

Es creen quan a Windows tenim l'opció activa de "vista en miniatura", i es crea en cada carpeta amb el nom de Thumbs.db. En definitiva contenen una vinyeta de cada arxius. Per tant aquesta també pot ser una font interessant d'informació sobre arxius existents en directoris concrets i veure si s'han eliminat o què podien contenir prèviament.

Tanmateix, i de forma similar amb el que passa amb la Paperera, les diferents versions de Windows han modificat lleugerament el funcionament d'aquest arxiu, fent que necessitem un programa específic per a la versió de Windows analitzada.

També podem trobar a la ruta c:\Users*\AppData\Local\Microsoft\Windows\Explorer\thumbcache_*.db una cache dels Thumnails vistos / utilitzats i per tant veure una preview d'arxius a més de conneixer l'activitat de l'usuari.

12 One Drive

És el servei de Cloud de Microsoft i permet emmagatzematge al núvol.

Per defecte els arxius nous a Windows 10 es crean a Mis Documentos i una còpia també al One Drive (a menys que es modifiqui manualment). Per tant si estem loguejats amb un compte de Microsoft es crearà una còpia dels arxius de Mis Documentos al núvol.

Per defecte els logs de OneDrive estàn a:

Windows 8.1
C:\Users\%user%\Appdata\Local\Microsoft\Windows\OneDrive
Windows 10
C:\Users\%user%\AppData\Local\Microsoft\OneDrive\logs

En principi a Windows 8 de fer no es guarden els arxius en local sinó que tots estàn a OneDrive. A Windows 10 es pot decidir quins van en local i quins al núvol.

A aquestes rutes existeixen quatre arxius:

  • SyncEngine.odl
  • TraceCurrent.ETL
  • TraceArchive.ETL
  • SyncDiagnostics.txt

També cal destacar que si el compte de Microsoft és del tipus Business, en pujar un arxiu al núvol se l'hi afegeixen unes línies inicials i per tant el hash de l'arxiu local difereix del núvol tot i que sigui el mateix arxiu. Per tant és important remarcar el tipus de compte al informe forense i remarcar aquesta diferència en cas de compte Business.

En els directoris també existeixen dues subcarpetes:

  • Common
  • Personal

Contenen els logs de les sincronitzacions automàtiques i per tant poden demostrar l'ús o no ús del servei.

13 Facebook App

La aplicació d'escriptori de Facebook també conté varis artefactes que podem trobar a la ruta \Users\%user%\AppData\Local\Packages\Facebook.Facebook_8xx8rvfyw5nnt\LocalState\<FACEBOOK ID>\DB. No deixa de ser una base de dades SQL-Lite que podem obrir amb SQLite Browser.

Per exemple podem trobar BBDD amb dades interessants com per exemple:

Analytics.sqlite
Informació que s'utilitza per obtenir FeedBack d'aplicacions.
FriendsRequests.sqlite
Sol·licitus que l'usuari te en espera.
Friends.sqlite
Amics emmagatzemats a la App (normalment tots, però amb un màxim de 600) amb dades com ID, nom, email, telf…
Messages.sqlite
Amb infromació dels missatges, contingut, títol, geolocalització,…
Notificacions.sqlite
Notificacions tipus popup.
Stickerpacks.sqlite
Stickers utilitzats (útil per interpretar converses).
Stories.sqlite
Emmagatzema el que l'usuari veu en la seva línia de temps. Emmagatzema contingut i marques de temps de les històries, per tant és una de les taules més interessants.

14 Cortana

Cortana és l'assistent de Microsot i pot obtenir inputs per veu o text. Molts usuaris la desconnectes per privacitat, i de fet s'ha trobat que en alguns sitemes Cortana sempre queda activada, fins i tot amb la màquina en estat "suspés".

Cortana utilitza varies BBDD en format ESE que poden ser parsejades utilitzant Esedbexport, així com configuracions interessants. La ruta on ho podem trobar tot plegat és \Users\%user%\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\.

Alguns són:

IndexedDB.edb
Taules generals.
CortanaCoreDb.dat
Conté info de les interaccions amb Cortana, com geolocalitzacions, recordatoris, activació de recordatoris, marcació…

15 Notification Center (SIC)

Una nova incorporació a Windows són les /Notificacions Toast" que són les notificacions en temps real de recordatoris tweets, emails, etc.

La ruta on s'emmagatzemen és: \Users\%user%\AppData\Local\Miscrosoft\Windows\Notifications

Es troba que els noms de les BBDD estàn diferint de versió en versió de Windows, per exemple els aniversaris a Windows 10 etàn a wpndatabase.db.

Les BBDD es poden veure amb un visor adeqüat i podem saber el ID de les aplicacions que han fet popup. Les notificacions com a tal d'emmagatzemen en format XML i per tant es pot utilitzar qualsevol programa com hexviewer per analitzarles-

Finalment a la clau del registre HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications queda registrar a Windows 10 qun una notificació ha estat visualitzada per un usuari, cosa que ens pot ser útil durant el forense. Dintre d'aquesta ruta, a TimestampWhenSeen es guarda la data de l'últim cop que es va mostrar el centre de notificacions.

16 USB Activity

La activitat dels dispositius USB és un cas prou interessant per tractar-ho apart. L'activitat queda reflectida a la clau del registre HKLM\System\CurrentControlSet\Enum\USBStor.

També podem trobar logs a c:\windows\inf\setupapi.dev.log.

17 Email

És més senzill analitzar els correus rebuts que no pas els enviats, ja que estigui enviat no implica que s'hagi rebut, i molts cops haurem de certificar totes dues coses per poder validar la comunicació.

L'anàlisi de capçaleres ens permetrà traçar els servidors d'email intermitjos des de que un email s'ha enviat fins que s'ha rebut.

En quant al servidor de correu entrant, podem trobar tres casuístiques que caldrà diferenciar:

Servidors locals
Caldrà fer un forense per certificar que els correus no s'han manipulat.
Servidors de tercers
Si compleixen LOPD podem "fiar-nos".
Servidors al núvol
No podrem accedir directament als emails, per tant cadrà actuar:
  • Utilitzant eines que ens donin certificació amb segell temporal (eGranate o Safe Stamper).
  • Si ens ho permeten, descarregar una còpia del contingut (a GMail ho podem fer a https://myaccount.google.com/privacy).
  • En cas d'un MS Exchange, podem utilitzar un script de PowerShell.

Alhora de fer l'anàlisi forense, podem aplicar varies tècniques:

17.1 Tècniques de investigació en emails

17.1.1 Anàlisi de capçareles, cos i metadades

Podem obrir directament el email (arxiu) i veure el seu contingut, fixau-nos especialment en les capçaleres From, Received, Delivered-to, Content-Type així com el cos del email (javascripts, etc) i les metadades de qualsevol adjunt o element que no sigui purament text (imatges, adjunts, etc). Recordar que per llegir el trànsit d'un correu s'ha de llegir el seu pas en ordre invers (el que està més abaix és el primer, i el més proper al inici del email l'últim).

Cal vigilar i contrastar la informació ja que és possible manipular les capçaleres (per exemple el From). Algunes consideracions a capçaleres específiques:

X-Apparently-To
El camp TO pot variar depenent de com s'ha enviat el correu (TO, CC o BCC), tanmateix el camp X-Apparently-To sempre mostrarà l'adreça del destinatari.
Return-Path
És el remitent i cal tenir clar que pot ser falsificada, és més, analitzant les capçaleres (només) no es pot verificar.
Reveived-SPF
Especifica si ve d'un servidor SPF o no.
X-Spam-Ratio
El valor calculat de possibilitat que sigui spam.
X-Originating-IP
La IP de l'últim MTA (Mail Transfer Agent) del SMTP. Aquí si s'ha enviat amb un servidor intern (d'empresa) podem tenir la seva IP i verificar.
X-Mail-From
El remitent també.

17.1.2 Extracció de correus del servidor

Pot ser útil analitzar els servidors, tant fent carving com repassant logs, ja que en cas que s'hagi eliminat el email en un dels extrems és molt possible que quedin traçes d'aquest en els servidors per on ha circulat. Com és lògic, el temps aquí ens juga en contra.

17.1.3 Investigar elements de xarxa

Si no es té accés als servidors de correu o simplement no s'obté la informació cercada s'acostuma a recorre als elements de xarxa. Moltes empreses implementen elements de xarxa on poden quedar traçes i evidències del pas d'emails, com són tallafocs, IDS, enrutadors, etc. Aquí poden quedar evidències del tràfic de xarxa i per tant de l'enviament o recepció d'un email.

17.1.4 Tàctiques d'esque

Quan volem investigar l'origen d'un email, a vegades és útil "retornar" un email a l'adreça remitent que contingui una etiqueta html del tipus <img src=XXX> on l'origen de la imatge és un servidor web controlat per nosaltres. D'aquesta forma, quan la persona a l'altre banda obri l'email farà automàticament una petició al nostre servidor web i tindrem en els logs la IP (i si fem un javascript podem obtenir més dades) de la persona que ha obert el email.

17.1.5 Comparació de dades

Sempre que puguem caldrà comparar les dades obtingudes en la investigació, sobretot dates, adreçes, destinataris, etc.) Aquí ens pot també venir bé donar un cop d'ull a backups on hi hagin els emails a investigar o dades on contrastar.

17.2 MS Outlook

Bàsicament ens interessen dos tipus d'arxius:

PST
Conté còpies de missatges, events de calendari, etc associats a comptes de correu tipus POP3.
OST
Són còpies en local dels missatges sincronitzats mitjançant protocol IMAP.

Els podem trobar a la ruta \Users\%username%\AppData\Local\microsoft\Outlook.

17.3 Windows Mail

El successor de MS Outlook i que ve inclòs a partir de Windows Vista. A Windows 10 podem trobar els artefactes forenses de Windows Mail a:

~\Users\%username%\AppData\Local\Comms\Unistore\data\0"
Dades de Windows Phone sincronitzats amb l'equip.
~\Users\%username%\AppData\Local\Comms\Unistore\data\2"
Contactes.
~\Users\%username%\AppData\Local\Comms\Unistore\data\3"
Emails.
~\Users\%username%\AppData\Local\Comms\Unistore\data\5"
Calendari.
~\Users\%username%\AppData\Local\Comms\Unistore\data\7"

Arxius adjunts.

Els arxius aquí es guarden en subcarpetes, sent la a la més antiga i la z la més recent. I dins també per ordre alfabétic. Es poden veure les dades utilitzant un editor hexadecimal.

Windows Mail també conté artefactes al registre on es configura cadascuna dels comptes a HKEY_USERS\%SID%\SOFTWARE\Microsoft\ActiveSync\Partners amb dades interesants com dates d'últim intent de sincronització (entrant, sortint i exitòs), dates d'últim ús, servidor remot, etc.

17.4 Mozilla Thunderbird

Per emmagatzemar les dades dels emails, Thunderbird utilitza arxius en format MBOX i arxius Mork (SQLite) de forma interna.Tenim disponibles eines com MBOXViewer per examinar-los. Els arxius Mark (.msf) emmagatzemen metadades dels correus i podem utilitzar per exemple morkreader per explorar-los o MorkConverter per llegir-los també i accedir a altres com history.dat.

Els perfils dels comptes s'emmagatzemen a \Users\%username%\AppData\Roaming\Thunderbird\Profiles\[Random].default.

18 Altres

18.1 Windows Error Reporting (WER)

Si una aplicació dona error (fa un crash) això normalment se l'hi notifica a l'usuari amb un missatge i queda un registre. Aquests registres es poden trobar a les rutes:

  • C:\ProgramData\Microsoft\Windows\WER\ReportArchive
  • C:\ProgramData\Microsoft\Windows\WER\ReportQueue
  • C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportArchive
  • C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportQueue

Per tant, donat que molt malware acaba donant algun tipus d'error (per no estar ajustat al 100% a la plataforma on s'està executant) pot ser interessant examinar aquestes dades i veure quins programes han "fallat".

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-02-17 dj. 11:40