Aplicación de la guía metodológica propuestapegasus.javeriana.edu.co/~CIS0910SD03/Anexos/Anexo...

Anexo 3

Aplicacin de la gua metodolgica propuesta

ETAPA PRELIMINAR

1. Identificar y definir roles

En la medida en que la presente investigacin se realiza con fines acadmicos, y los recursos de personal y econmicos son limitados, se tendrn en cuenta nicamente los siguientes roles:

1. Lder de la investigacin

2. Propietario del sistema o negocio

3. Especialista en informtica forense

4. Analista en informtica forense

2. Verificar que el contexto de la escena del crimen digital presente las caractersticas adecuadas

En el proceso de recoleccin de evidencia fsica, el propietario del sistema o negocio, suministr un computador porttil con las siguientes caractersticas:

Dispositivo

Marca

Modelo

Nmero serial

Sistema de archivos

Nmero de particiones

Tamao de particin principal

Tamao de particin secundaria

Nombre de usuario(os) del dispositivo

Computador porttil

Dell Inspiron 6400

PP20L

1H3JZ91

NTFS

1

80Gb

N/A

Ivn Felipe Camero

Tabla 1 Caractersticas bsicas del equipo incautado

Luego de tomar las caractersticas bsicas del equipo, se realiz la siguiente entrevista con el propietario del sistema entregado. (Basado en un escenario hipottico)

1. Hace cunto utiliza el equipo?

Rta/ Hace 6 meses

2. Antes de usted, alguien ms us ese equipo?

Rta/ No

3. El computador era nuevo o usado cuando fue entregado a usted?

Rta/ Nuevo

4. En un da de trabajo habitual, cul era el uso que le daba al porttil?

Rta/ El computador se encenda las 8am, hora en la que entraba, trabajaba con programas de la suite de office como lo son Word, Excel y Powerpoint. Tambin para fines de comunicacin utilizaba el correo electrnico. Para visualizar documentos en formato PDF utilizaba el Adobe Reader. Finalmente, alrededor de las 6pm, el computador se est apagando y esta rutina se repite de lunes a viernes.

5. Cules eran los archivos ms confidenciales que manejaba?

Rta/ Archivos de Excel, en los cuales existen balances financieros, informacin detallada de nmina y contabilidad de la empresa.

6. En el disco duro, en dnde se encuentran estos archivos?

Rta/ en la carpeta de Mis documentos

7. Tiene almacenado estos archivos en algn otro sitio?

Rta/ No, slo en esa mquina

8. Qu anomala encontr con sus archivos y cundo?

Rta/ Luego de realizar la nmina de octubre del presente ao, uno de los empleados qued con un sueldo mayor al que le corresponda, cambio que yo nunca realice. Esto pas para la nmina de Octubre del presente ao.

3. Preservacin de la evidencia

En la actual investigacin se utilizar el registro de custodia que se propone en el manual de procedimientos del sistema de cadena de custodia de la Fiscala General de la Nacin [18]

Entidad:

Tipo de elemento fsico:

Fecha(dd/mm/aa):

Nmero Serial:

Cuidad:

Marca y referencia:

Sitio del hallazgo:

Descripcin del elemento fsico de prueba:

Fecha

Hora

Nombre de quien recibe el elemento fsico de prueba

Propsito del traspaso de cadena de custodia

Observaciones

Firma

Tabla 2 Resistro de Cadena de Custodia

4. Seleccin de las herramientas forenses

Partiendo de las herramientas sugeridas en la gua metodolgica y teniendo en cuenta que esta investigacin se enmarca en un mbito acadmico, se utilizaran las siguientes herramientas:

FTK imager: Esta herramienta se utilizara para realizar la imagen Row data del disco duro encontrado en la escena del crimen.

The Sleuth Kit: Esta es una herramienta de libre utilizacin, con la que se puede hacer todo el manejo y anlisis de casos forenses; por lo que se utilizar en la presente investigacin para administrar y analizar todos los artefactos forenses encontrados en la escena del crimen.

ETAPA DE RECOLECCIN Y CLASIFICACIN DE INFORMACIN

5. Tomar la hora que el sistema registra y la actual en caso tal que ambas difieran

Al momento en que se lleg a la escena del crimen, el sistema registraba la 1:25:36am, hora que coincidi con la actual de Bogot el 2 de noviembre de 2009.

6. Recolectar y tomar la imagen de los datos por orden de volatilidad y acorde con las propiedades de NTFS

Al llegar a la escena del crimen, el computador encontrado de caractersticas descritas en el paso 4.2.2., se encontr encendido. Para la adquisicin fsica de datos se tom una imagen mediante la herramienta Adquisicin Live de Helix [EFE2009] con la cual se realiz una copia bit a bit de la particin principal del porttil, que ser almacenada en un disco duro externo de 120Gb el cual se formate previamente. La siguiente imagen muestra cmo fue el proceso.

Ilustracin 1 Adquisicin de la imagen forense

Por los objetivos definidos de este trabajo, los cuales especifican que se trabajar exclusivamente con particiones NTFS, los siguientes elementos no sern contemplados para el anlisis de posible evidencia:

Todo registro temporal

Memoria cache

Tabla de ruta, tabla de proceso, ncleo de estadsticas

Memoria principal

Configuracin fsica

Topologa de red

7. Autenticacin matemtica de los datos

Para verificar la integridad de los datos tomados, se realiza la suma con el algoritmo de reduccin criptogrfica md5, la cual se puede calcular con la misma herramienta con la que se hizo la imagen, dicho archivo se encuentra en el disco duro externo. El resultado del clculo se puede observar en la siguiente tabla:

Tabla 1 MD5 de la imagen obtenida de la mquina vctima

Archivo Imagen

Archivo Clculo md5 de la imagen

Resultado Clculo md5

Imagen.dd

Imagen.dd.md5

0d6a96dc7e883792321dcc9747f43492

Tabla 3 MD5 de la imagen obtenida de la mquina vctima

8. Recolectar la informacin persistente

Debido a que la aplicacin de esta gua se enmarca en un mbito acadmico y que no se cuenta con los recursos necesarios de almacenamiento fsico, en este caso slo se trabajar con una copia de la particin obtenida en la escena del crimen en el paso 4.2.5.

ETAPA DE ANLISIS DE EVIDENCIA

9. Clasificar la posible evidencia en orden cronolgico

Para cumplir con el objetivo de este paso se utilizo una herramienta que otorga SleuthKit, la cual genera un registro (archivo plano (.txt)) que contiene en orden cronolgico las acciones que se realizaron sobre todos los archivos del computador a analizar.

Este registro contiene un estructura en donde se describe el da y hora, tamao, tipo de accin realizada sobre ese archivo (m (modificado), a (accedido), c (cambiado), b (creado)), modo, user id o el user name, group id, direccin de Meta Data, y en nombre del archivo.

De este modo, se cuenta con un archivo consolidado con el que se prosigue a analizar detalladamente cada registro en busca de los archivos que se clasificarn como sospechosos para su posterior anlisis. Asimismo se genera una grafica en forma de la lnea de tiempo para visualizar de una mejor forma los eventos ocurridos en la maquina vctima.

Para obtener el archivo con la lnea de tiempo, lo primero que se hace es definir el intervalo de tiempo a analizar sobre la imagen. En nuestro caso, tomamos un rango con base a la entrevista realizada en el paso 4.2.2 al usuario del computador, de ah obtuvimos que el ataque pudo haberse realizado entre los ltimos das de octubre y los primeros de noviembre, por tanto las fechas seleccionadas fueron 28 de octubre a 2 de noviembre del 2009. El archivo resultante se puede encontrar en el Anexo 4.

Ilustracin 2 Lnea de tiempo definitiva

Luego de analizar detalladamente el archivo de la lnea de tiempo, se genera una tabla con los posibles registros que tengan indicios de lo que se efectu en el ataque, como lo son posibles aplicaciones de herramientas Anti Forenses, archivos manipulados en horas en la que pudo ocurrir el ataque, segn datos recolectados en el paso 4.2.2, o simplemente archivos que generen alguna sospecha al investigador.

Como resultado del anlisis se genera la tabla a continuacin que contiene los archivos a los que se le prestara principal atencin y cuidado en el transcurso de la investigacin.

ID

Fecha/hora

Accin

Direccin metadata

Direccin en disco

1

2/11/09, 3:19:13

A

112831

C:/WINDOWS/Prefetch/SLACKER.EXE

2

2/11/09, 4:11:45

MC

112831

C:/WINDOWS/Prefetch/SLACKER.EXE

3

2/11/09, 4:12:09

A

111048

C:/Documents and Settings/Administrador/Mis documentos/Descargas/md5sum(2).exe

4

2/11/09, 4:12:43

M

111048


5

2/11/09, 4:12:56

C

111048


6

2/11/09, 4:26:47

A

110058

C:/WINDOWS/Prefetch/TIMESTOMP.EXE

7

2/11/09, 4:33:14

C

75744

C:/insteelmd.exe

8

2/11/09, 4:37:17

A

109001

C:/Nomina.xlsx

9

2/11/09, 4:38:24

C

109001

C:/Nomina.xlsx

10

2/11/09, 4:47:17

MC

110058

C:/WINDOWS/Prefetch/TIMESTOMP.EXE

11

2/11/09, 4:48:22

MAC

110284

C:/WINDOWS/Prefetch/EVIDENCEELIMINATOR.6.02.EXE

12

2/11/09, 4:48:22

MAC

110358

C:/WINDOWS/Prefetch/GLB36.TMP

13

2/11/09, 4:48:26

C

3543

C:/Documents and Settings/Administrador/Configuracin local/Temp/GLB1A2B.EXE

14

2/11/09, 4:48:28

A

34316

C:/Archivos de programa/Evidence Eliminator/Ee.exe

15

2/11/09, 4:48:37

C

9982

C:/WINDOWS/system32/EEGenFn1.dll

16

2/11/09, 4:48:37

A

111017

C:/WINDOWS/Prefetch/GLJ38.TMP

17

2/11/09, 4:48:40

MC

111017

C:/WINDOWS/Prefetch/GLJ38.TMP

18

2/11/09, 4:49:00

MC

34183

C:/Documents and Settings/Administrador/Configuracin local/Temp/bassmod.dll

19

2/11/09, 4:49:10

MAC

110168

C:/WINDOWS/Prefetch/EVIDENCEELIMINATOR.6.02_PATCH

20

2/11/09, 4:49:42

MAC

110170

C:/WINDOWS/Prefetch/EE.EXE-052B4756

21

2/11/09, 4:55:54

MC

112802

image.dd-img.jpg

22

2/11/09, 4:55:55

MC

112806

image.dd-img2.jpg

23

2/11/09, 4:55:55

MC

112807

image.dd-img3.jpg

24

2/11/09, 4:55:55

MC

112808

image.dd-img.4jpg

25

2/11/09, 4:55:55

MC

112809

image.dd-img5.jpg

26

2/11/09, 4:55:55

MC

112810

image.dd-img6.jpg

27

2/11/09, 4:55:55

MC

112811

image.dd-img7.jpg

28

2/11/09, 4:55:55

MC

112814

image.dd-img10.jpg

29

2/11/09, 4:55:55

MC

112815

image.dd-img11.jpg

30

2/11/09, 4:55:55

MC

112816

image.dd-img12.jpg

31

2/11/09, 4:55:55

MC

112817

image.dd-img13.jpg

32

2/11/09, 4:55:56

MC

112799

image.dd-timestomp.exe

33

2/11/09, 4:55:56

MC

112801

image.dd-slacker.exe

34

2/11/09, 4:55:56

MC

112812

image.dd-img8.jpg

35

2/11/09, 4:55:56

MC

112813

image.dd-img9.jpg

36

2/11/09, 4:55:56

MC

112830

image.dd-imgg.jpg

37

2/11/09, 4:55:56

MC

112833

image.dd-imgg1.jpg

38

2/11/09, 4:55:56

MC

112834

image.dd-imgg2.jpg

39

2/11/09, 4:55:56

MC

112835

image.dd-imgg3.jpg

40

2/11/09, 4:55:57

MC

112836

image.dd-wp.jpg

41

2/11/09, 4:55:57

MC

112837

image.dd-wp_1.jpg

42

2/11/09, 4:55:57

MC

112838

image.dd-wp_2.jpg

43

2/11/09, 4:55:57

MC

112839

image.dd-wp_3.jpg

44

2/11/09, 4:55:57

MC

112840

image.dd-wp_4.jpg

45

2/11/09, 4:55:57

MC

112841

image.dd-wp_5.jpg

46

2/11/09, 4:55:57

MC

112842

image.dd-wp_6.jpg

47

2/11/09, 4:55:58

MAC

112839

image.dd-af

48

2/11/09, 5:2:31

A

3543

C:/Documents and Settings/Administrador/Configuracin local/Temp/GLB1A2B.EXE

49

2/11/09, 5:2:39

C

34194

C:/WINDOWS/system32/Eeshellx.dll

50

2/11/09, 5:2:39

C

34316

C:/Archivos de programa/Evidence Eliminator/Ee.exe

51

2/11/09, 5:2:40

C

34324

C:/WINDOWS/system32/EEGenFn1.dll

52

2/11/09, 5:2:41

MAC

8650

C:/WINDOWS/Prefetch/UNWISE.EXE

53

2/11/09, 5:2:53

MAC

34193

C:/Archivos de programa/Evidence Eliminator

54

2/11/09, 5:2:53

MAC

9346

C:/WINDOWS/Prefetch/GLB1A2B.EXE

Tabla 4 Archivos con indicios

Como consecuencia del anlisis de la tabla anterior, se pueden empezar a construir hiptesis acerca del caso, como lo son el uso de algunos ejecutables que aplican tcnicas forenses como es el caso de slacker.exe, que proporciona funciones para el ocultamiento de la informacin; timestomp.exe que permite modificar atributos de marcas de tiempo en los archivos y finalmente ee.exe que destruye una extensa variedad de evidencia que se puede generar en un ataque.

Asimismo, se puede observar que se produjo alguna manipulacin del archivo Nmina.xlsx, el cual fue mencionado como sospechoso desde la entrevista realizada en el paso 4.2.2.

10. Determinar el estado y la ubicacin de la informacin

Debido a que en la maquina vctima solo existe una particin, para la investigacin se cuenta con una nica ubicacin en donde se recopila toda la informacin que ser objeto de estudio.

De otra parte al ser la maquina vctima, responsabilidad de un nico usuario, se puede sospechar que dicha persona es el autor del ataque. Sin embargo, acorde con la hora en que la mayora de los archivos sospechosos tuvieron alguna actividad, se disminuye la posibilidad que el ataque fuera efectuado por este personaje. Por consiguiente, aumenta la posibilidad de que la mquina haya sido atacada por un agente externo.

En la siguiente tabla se muestra el estado de cada uno de los archivos sospechosos junto con el autor; sin embargo ya que slo existe una sesin en la mquina vctima (administrador), no vara el autor de los archivos. Por otro lado, para el estado de los datos encontrados se manejarn las siguientes siglas:

A, para Activo

B, para Borrado

E, para Eliminado

J, para Ejecucin

O, para Oculto

Adicionalmente, se agreg una columna con el propsito de otorgar una breve descripcin del archivo encontrado, incluyendo el fabricante y lo que puede hacer en el sistema.

ID

Estado

Descripcin

1

J

Herramienta anti-forense que oculta archivos en el slack space de otros. Pertenece al proyecto MAFIA de Metasploit.

2

J


3

A

Aplicacin Unix que calcula la suma MD5 de un determinado archivo. Desarrollado por eTree.

4

A


5

J


6

J

Herramienta anti-forense que altera las estampillas de tiempo de un archivo. Pertenece al proyecto MAFIA de Metasploit.

7

A

Instalador de Evidence Eliminator programa que ayuda al borrado seguro de todo tipo de archivos. Robin Hood Software.

8

A

Archivo de Microsoft Office Excel 2007.

9

A

Archivo de Microsoft Office Excel 2007.

10

J


11

J

Archivo ejecutable de Evidende Eliminator. Robin Hood Software.

12

J

Ejecuta archivos que se almacenan en carpetas temporales de Windows y as mismo crea y destruye procesos del disco. Su constructor es desconocido.

13

A

Infeccin Spyware. Constructor desconocido.

14

A


15

A

Librera que Evidence Eliminator inyecta al sistema operativo para su funcionamiento. Robin Hood Software.

16

J

Archivo troyano que se aloja en los archivos temporales de Windows y funciona descargando otros archivos por internet. Constructor desconocido.

17

J

Archivo troyano que se aloja en los archivos temporales de Windows y funciona descargando otros archivos por internet. Constructor desconocido.

18

A

Archivo descrito como un Troyano el cual descarga archivos en masa por internet. Constructor desconocido.

19

J

Parche para crackear el programa Evidence Eliminator. Autor desconocido.

20

J


21

E

Imagen con extensin del archivo comprimido jpg.

22

E


23

E


24

E


25

E


26

E


27

E


28

E


29

E


30

E


31

E


32

E


33

E


34

E


35

E


36

E


37

E


38

E


39

E


40

E


41

E


42

E


43

E


44

E


45

E


46

E


47

E

Fichero eliminado.

48

A


49

A


50

A


51

A


52

J

Archivo el cual desinstala aplicaciones con instalador Wise. Constructor varia en las aplicaciones.

53

A

Fichero que aloja el software Evidence Eliminator.

54

J


Tabla 5 Estado y descripcin de archivos sospechosos encontrados

Mediante la anterior tabla, se puede observar una serie de comportamientos anormales segn el uso que el usuario de la mquina dijo que se le daba. En la siguientes dos secciones se analizan dichos archivos.

11. Clasificar la evidencia segn el nivel de susceptibilidad

Como se mencion anteriormente, el objetivo principal de este trabajo se centra en el sistema de archivos NTFS, razn por la cual el nivel de susceptibilidad se reduce a este.

12. Para la evidencia encontrada a nivel de sistema de archivos, determinar la tcnica anti-forense posiblemente materializada

12.1. Obtencin de informacin escondida u oculta

Deteccin de datos ocultos en Cluster daados:

Partiendo de los resultados que arroj el anlisis del archivo C:/$BadClus:$Bad se concluye que no existen datos ocultos en los cluster daados debido a que en este archivo no se encuentra ningn cluster marcado como daado.

Deteccin de datos ocultos en el File Slack

Con el objetivo de delimitar el anlisis de los file slack, se filtraron los archivos sospechosos para generar una tabla con los archivos que tienen indicios de manipulacin de la herramienta slacker; la cual utiliza mtodos para ocultar datos en el file slack. Estos indicios se obtuvieron al analizar el orden consecutivo en el que se tiene registro de ejecucin de Slacker y la manipulacin de estos archivos; esto se puede observar en los resultados de la seccin 4.2.9 clasificar la posible evidencia en orden cronolgico.

La tabla que se muestra a continuacin contiene los archivos a los que se les realizara el anlisis de file slack.

Direccin en disco

Tamao

Estado

C:/af/img2.jpg

196608

Eliminado

C:/af/ img3.jpg

196608

Eliminado

C:/af/ img4.jpg

196608

Eliminado

C:/af/ img5.jpg

196608

Eliminado

C:/af/ img6.jpg

196608

Eliminado

C:/af/ img7.jpg

196608

Eliminado

C:/af/ img8.jpg

196608

Eliminado

C:/af/ img9.jpg

196608

Eliminado

C:/af/ img10.jpg

196608

Eliminado

C:/af/ img11.jpg

196608

Eliminado

C:/af/ img12.jpg

196608

Eliminado

C:/af/ img13.jpg

196608

Eliminado

C:/af/imgg.jpg

720896

Eliminado

C:/af/ imgg1.jpg

720896

Eliminado

C:/af/ imgg2.jpg

720896

Eliminado

C:/af/ imgg3.jpg

720896

Eliminado

C:/af/wp.jpg

1179648

Eliminado

C:/af/wp_1.jpg

1179648

Eliminado

C:/af/ wp_2.jpg

1179648

Eliminado

C:/af/ wp_3.jpg

1179648

Eliminado

C:/af/ wp_4.jpg

1179648

Eliminado

C:/af/ wp_5.jpg

1179648

Eliminado

C:/af/ wp_6.jpg

1179648

Eliminado

Tabla 6 Estado de los archivos encontrados en el espacio slack

Al analizar los archivos listados en la tabla anterior se encontr lo siguiente:

Comparando la hora y fecha que arroja la lnea de tiempo para la ejecucin de Slacker y los atributos MACE (Modificado, Accedido, Creado, Entrada Modificada) de los archivos, se observa que coinciden con el ultimo acceso a cada archivo. Con esto se puede corroborar que los archivos probablemente se hayan manipulado con esta herramienta antiforense.

Partiendo que el estado de los archivos se encuentra en eliminado, se analiz con el editor hexadecimal el contenido de cada uno de los archivos. Se observ que tenan todos los datos en cero, lo que pudo ser a causa de una sobrescritura con un patrn de ceros. Por esta razn, se imposibilit la obtencin de alguna informacin almacenada en el file slack.

Debido a que el anlisis del file slack no arrojo ningn resultado contundente, solo se genera un indicio de la aplicacin de herramientas para ocultar informacin en el file slack, la cual es el uso de slacker.exe, que se evidencia en la lnea de tiempo.

Sin embargo, se debe tener en cuenta el patrn de ceros que contienen los archivos, ya que en la lnea de tiempo se puede observar el uso de Evidence Eliminator, la cual proporciona funciones para el borrado seguro. Por ende, este hecho se tomar como un indicio de la posible ejecucin de Evidence Eliminator en estos archivos.

Las figuras a continuacin muestran el anlisis de la evidencia que se realiz en este paso.:

Ilustracin 3 Anlisis MACE

En la anterior figura se muestra la fecha de ultimo acceso para el archivo ima2.jpg la cual se genero minutos despus de la ejecucin de Slacker que fue el 2009.11.02 a las 03:03:19.

Ilustracin 4 Anlisis Datos img2.jpg

12.2. Obtencin de la informacin borrada

Los archivos eliminados que se analizaran en este paso sern los que se encuentran en el directorio C:/af. debido a que este directorio contiene la mayora de los archivos sospechosos o potencialmente analizables.

Los archivos que se recuperaran para su anlisis se listan a continuacin.

Direccin en disco

Estado

C:/af/img2.jpg

Eliminado

C:/af/ img3.jpg

Eliminado

C:/af/ img4.jpg

Eliminado

C:/af/ img5.jpg

Eliminado

C:/af/ img6.jpg

Eliminado

C:/af/ img7.jpg

Eliminado

C:/af/ img8.jpg

Eliminado

C:/af/ img9.jpg

Eliminado

C:/af/ img10.jpg

Eliminado

C:/af/ img11.jpg

Eliminado

C:/af/ img12.jpg

Eliminado

C:/af/ img13.jpg

Eliminado

C:/af/imgg.jpg

Eliminado

C:/af/ imgg1.jpg

Eliminado

C:/af/ imgg2.jpg

Eliminado

C:/af/ imgg3.jpg

Eliminado

C:/af/wp.jpg

Eliminado

C:/af/wp_1.jpg

Eliminado

C:/af/ wp_2.jpg

Eliminado

C:/af/ wp_3.jpg

Eliminado

C:/af/ wp_4.jpg

Eliminado

C:/af/ wp_5.jpg

Eliminado

C:/af/ wp_6.jpg

Eliminado

C:/Nomina.xls

Eliminado

TimeStomp.exe

Eliminado

Slacker.exe

Eliminado

EE.rar

Eliminado

EE.exe

Eliminado

Tabla 7 Archivos borrados

Como se observ en pasos anteriores, para estos archivos no fue posible recuperar su contenido ya que se utiliz una herramienta de borrado seguro para su eliminacin; esto se evidencia en tanto todos los archivos listados tienen sus datos en ceros [45], lo cual es un indicio identificado del uso de una herramienta de borrado seguro.

Partiendo de la premisa que en este ataque se utiliz una herramienta de borrado seguro, se empiezan a encadenar suceso y evidencias ya encontradas, como lo es la ejecucin de Evidence Eliminator que se observa en la lnea de tiempo en la fecha 2009.11.02 a las 04:49:42. Comparando la fecha de modificacin de los archivos analizados en este paso, se observa que es minutos despus de la ejecucin de Evidence Eliminator como lo muestra la ilustracin 64.

Ilustracin 5 Anlisis MACE 2

En bsqueda de un indicio ms contundente de la aplicacin de la herramienta Evidence Eliminator en este ataque se busca en toda la imagen del disco duro cualquier otra evidencia. Como resultado de esta exhaustiva bsqueda se encontr que Evidence Eliminator realiza una inyeccin de un .dll (Dynamic Linking Library) que contienen los mtodos y funciones con las que realiza el borrado seguro. Este .dll se llama EEGenFn1.dll; asimismo tambin se observa que los atributos MACE de este .dll conciden con las fechas de ejecucin del Evidence Eliminator, adems hay que sumarle que se observa la utilizacin de dicho dll en la lnea de tiempo.

Esto de se puede observar en las figuras a continuacin.

Ilustracin 6 Atributos MACE EEGenFn1.dll

Ilustracin 7 Contenido EEGenFn1.dll

De la misma forma tambin se encontr que el archivo ~GLH0091.TMP fue utilizado por la herramienta Evidence Eliminator, por sus atributos MACE y por lo encontrado en su contenido como lo muestra la siguiente figura:

Ilustracin 8 Anlisis ~GLH0091

12.3. Identificacin de informacin falsificada

En los archivos clasificados como sospechosos, se encuentran indicios de la aplicacin de la herramienta timestomp.exe, que falsifica y modifica los atributos MACE. Partiendo lo que se observa en la lnea de tiempo la ejecucin de timestomp.exe se realiz en la fecha 2009.11.02 a las 04:26:47 y al archivo Nomina.xls se accedi en la misma fecha, a las 04:37:17. Por esta razn se sospecha que esta herramienta se aplic en el archivo Nomina.xls.

Ilustracin 9 Lnea de tiempo Nomina.xls

Al analizar los valores MACE del atributo SIA ($STANDARD_INFORMATION Attribute) y los de los atributos FN ($FILE_NAME Attribute) del archivo Nomina.xls que se muestran en la figura 8, se observa que son iguales, lo que puede significar que despus de que se aplic la herramienta timestomp.exe el archivo fue cambiado de ubicacin; esto se deduce puesto que los atributos FN solo se modifican la primera vez que se crea el archivo y cuando es modificada su ubicacin. Pero gracias a los datos encontrados en la lnea de tiempo, se puede concluir que los valores MACE de este archivo son falsos ya que su ltima modificacin debera estar en la fecha 2009.11.02 a las 04:37:17.

Ilustracin 10 Valores MACE Nomina.xls

12.4. Identificacin de la eliminacin de fuentes de la evidencia

Despus del anlisis no se encontr ningn indicio de aplicacin de tcnicas anti forenses que atentaran o eliminaran fuentes de la evidencia.

13. Aplicar protocolos de informtica forense para el anlisis de la evidencia

Para el anlisis de la evidencia se utilizaron los protocolos y mtodos necesarios en el paso anterior, lo que significa que este paso se omitir.

14. Clasificacin de la evidencia

Segn la evidencia encontrada y partiendo de los resultados arrojados por el anlisis a los archivos que se les aplico alguna tcnica anti forense son:

a) Destruccin de la evidencia.

Direccin en disco

Estado

C:/af/img2.jpg

Eliminado

C:/af/ img3.jpg

Eliminado

C:/af/ img4.jpg

Eliminado

C:/af/ img5.jpg

Eliminado

C:/af/ img6.jpg

Eliminado

C:/af/ img7.jpg

Eliminado

C:/af/ img8.jpg

Eliminado

C:/af/ img9.jpg

Eliminado

C:/af/ img10.jpg

Eliminado

C:/af/ img11.jpg

Eliminado

C:/af/ img12.jpg

Eliminado

C:/af/ img13.jpg

Eliminado

C:/af/imgg.jpg

Eliminado

C:/af/ imgg1.jpg

Eliminado

C:/af/ imgg2.jpg

Eliminado

C:/af/ imgg3.jpg

Eliminado

C:/af/wp.jpg

Eliminado

C:/af/wp_1.jpg

Eliminado

C:/af/ wp_2.jpg

Eliminado

C:/af/ wp_3.jpg

Eliminado

C:/af/ wp_4.jpg

Eliminado

C:/af/ wp_5.jpg

Eliminado

C:/af/ wp_6.jpg

Eliminado

C:/Nomina.xls

Eliminado

TimeStomp.exe

Eliminado

Slacker.exe

Eliminado

EE.rar

Eliminado

EE.exe

Eliminado

Tabla 8 Archivos destruidos

b) Ocultar la evidencia.

Direccin en disco

Estado

C:/af/img2.jpg

Eliminado

C:/af/ img3.jpg

Eliminado

C:/af/ img4.jpg

Eliminado

C:/af/ img5.jpg

Eliminado

C:/af/ img6.jpg

Eliminado

C:/af/ img7.jpg

Eliminado

C:/af/ img8.jpg

Eliminado

C:/af/ img9.jpg

Eliminado

C:/af/ img10.jpg

Eliminado

C:/af/ img11.jpg

Eliminado

C:/af/ img12.jpg

Eliminado

C:/af/ img13.jpg

Eliminado

C:/af/imgg.jpg

Eliminado

C:/af/ imgg1.jpg

Eliminado

C:/af/ imgg2.jpg

Eliminado

C:/af/ imgg3.jpg

Eliminado

C:/af/wp.jpg

Eliminado

C:/af/wp_1.jpg

Eliminado

C:/af/ wp_2.jpg

Eliminado

C:/af/ wp_3.jpg

Eliminado

C:/af/ wp_4.jpg

Eliminado

C:/af/ wp_5.jpg

Eliminado

C:/af/ wp_6.jpg

Eliminado

Tabla 9 Archivos ocultados

c) Eliminacin de las fuentes de la evidencia.

No aplica

d) Falsificacin de la evidencia.

Direccin en disco

Estado

C:/Nomina.xls

Eliminado

Tabla 10 Evidencia falsificada

e) Matriz de aplicacin de ms de una tcnica antiforense

Tcnica AF (Fecha y Hora)

Slacker (20009.11.02 - 03:19:13)

Timestomp (2009.11.02 - 04:26:47)

Evidence Eliminator (20009.11.02 - 04:48:22)

----------------------

Nomina.xls


C:/af/img2.jpg


C:/af/ img3.jpg


C:/af/ img4.jpg


C:/af/ img5.jpg


C:/af/ img6.jpg


C:/af/ img7.jpg


C:/af/ img8.jpg


C:/af/ img9.jpg


C:/af/ img10.jpg


C:/af/ img11.jpg


C:/af/ img12.jpg


C:/af/ img13.jpg


C:/af/imgg.jpg


C:/af/ imgg1.jpg


C:/af/ imgg2.jpg


C:/af/ imgg3.jpg


C:/af/wp.jpg


C:/af/wp_1.jpg


C:/af/ wp_2.jpg


C:/af/ wp_3.jpg


C:/af/ wp_4.jpg


C:/af/ wp_5.jpg


C:/af/ wp_6.jpg

Tabla 11 Relacin de tcnicas anti-forenses en la escena

15. Resultados del anlisis

Con los resultados que muestra el anlisis, se puede concluir que en este ataque se utilizaron tres herramientas antiforenses que corresponden a la aplicacin de tres tcnicas que son: Destruccin de la evidencia, Ocultar la evidencia y Falsificacin de la evidencia. Asimismo se observ que se aplicaron conjunta y paralelamente dichas herramientas. Esto dificult el trabajo de los investigadores como fue el caso de los datos que se almacenaron en el slack space por la herramienta Slacker.exe, ya que estos datos fueron imposibles de recuperar, por lo que el atacante logro eliminar evidencia vital para la investigacin.

Estos resultados revelan que la aplicacin de tcnicas antiforenses a nivel de sistemas de archivos no dejan rastros claros, de igual forma logran de alguna forma disminuir el xito de la investigacin, ya que la evidencia digital encontrada esta en forma borrosa y poco clara.

Aplicación de la guía metodológica propuestapegasus.javeriana.edu.co/~CIS0910SD03/Anexos/Anexo...

Documents

Transcript of Aplicación de la guía metodológica propuestapegasus.javeriana.edu.co/~CIS0910SD03/Anexos/Anexo...