Upload
lamlien
View
215
Download
0
Embed Size (px)
Citation preview
Anexo 3
Aplicacin de la gua metodolgica propuesta
ETAPA PRELIMINAR
1. Identificar y definir roles
En la medida en que la presente investigacin se realiza con fines acadmicos, y los recursos de personal y econmicos son limitados, se tendrn en cuenta nicamente los siguientes roles:
1. Lder de la investigacin
2. Propietario del sistema o negocio
3. Especialista en informtica forense
4. Analista en informtica forense
2. Verificar que el contexto de la escena del crimen digital presente las caractersticas adecuadas
En el proceso de recoleccin de evidencia fsica, el propietario del sistema o negocio, suministr un computador porttil con las siguientes caractersticas:
Dispositivo
Marca
Modelo
Nmero serial
Sistema de archivos
Nmero de particiones
Tamao de particin principal
Tamao de particin secundaria
Nombre de usuario(os) del dispositivo
Computador porttil
Dell Inspiron 6400
PP20L
1H3JZ91
NTFS
1
80Gb
N/A
Ivn Felipe Camero
Tabla 1 Caractersticas bsicas del equipo incautado
Luego de tomar las caractersticas bsicas del equipo, se realiz la siguiente entrevista con el propietario del sistema entregado. (Basado en un escenario hipottico)
1. Hace cunto utiliza el equipo?
Rta/ Hace 6 meses
2. Antes de usted, alguien ms us ese equipo?
Rta/ No
3. El computador era nuevo o usado cuando fue entregado a usted?
Rta/ Nuevo
4. En un da de trabajo habitual, cul era el uso que le daba al porttil?
Rta/ El computador se encenda las 8am, hora en la que entraba, trabajaba con programas de la suite de office como lo son Word, Excel y Powerpoint. Tambin para fines de comunicacin utilizaba el correo electrnico. Para visualizar documentos en formato PDF utilizaba el Adobe Reader. Finalmente, alrededor de las 6pm, el computador se est apagando y esta rutina se repite de lunes a viernes.
5. Cules eran los archivos ms confidenciales que manejaba?
Rta/ Archivos de Excel, en los cuales existen balances financieros, informacin detallada de nmina y contabilidad de la empresa.
6. En el disco duro, en dnde se encuentran estos archivos?
Rta/ en la carpeta de Mis documentos
7. Tiene almacenado estos archivos en algn otro sitio?
Rta/ No, slo en esa mquina
8. Qu anomala encontr con sus archivos y cundo?
Rta/ Luego de realizar la nmina de octubre del presente ao, uno de los empleados qued con un sueldo mayor al que le corresponda, cambio que yo nunca realice. Esto pas para la nmina de Octubre del presente ao.
3. Preservacin de la evidencia
En la actual investigacin se utilizar el registro de custodia que se propone en el manual de procedimientos del sistema de cadena de custodia de la Fiscala General de la Nacin [18]
Entidad:
Tipo de elemento fsico:
Fecha(dd/mm/aa):
Nmero Serial:
Cuidad:
Marca y referencia:
Sitio del hallazgo:
Descripcin del elemento fsico de prueba:
Fecha
Hora
Nombre de quien recibe el elemento fsico de prueba
Propsito del traspaso de cadena de custodia
Observaciones
Firma
Tabla 2 Resistro de Cadena de Custodia
4. Seleccin de las herramientas forenses
Partiendo de las herramientas sugeridas en la gua metodolgica y teniendo en cuenta que esta investigacin se enmarca en un mbito acadmico, se utilizaran las siguientes herramientas:
FTK imager: Esta herramienta se utilizara para realizar la imagen Row data del disco duro encontrado en la escena del crimen.
The Sleuth Kit: Esta es una herramienta de libre utilizacin, con la que se puede hacer todo el manejo y anlisis de casos forenses; por lo que se utilizar en la presente investigacin para administrar y analizar todos los artefactos forenses encontrados en la escena del crimen.
ETAPA DE RECOLECCIN Y CLASIFICACIN DE INFORMACIN
5. Tomar la hora que el sistema registra y la actual en caso tal que ambas difieran
Al momento en que se lleg a la escena del crimen, el sistema registraba la 1:25:36am, hora que coincidi con la actual de Bogot el 2 de noviembre de 2009.
6. Recolectar y tomar la imagen de los datos por orden de volatilidad y acorde con las propiedades de NTFS
Al llegar a la escena del crimen, el computador encontrado de caractersticas descritas en el paso 4.2.2., se encontr encendido. Para la adquisicin fsica de datos se tom una imagen mediante la herramienta Adquisicin Live de Helix [EFE2009] con la cual se realiz una copia bit a bit de la particin principal del porttil, que ser almacenada en un disco duro externo de 120Gb el cual se formate previamente. La siguiente imagen muestra cmo fue el proceso.
Ilustracin 1 Adquisicin de la imagen forense
Por los objetivos definidos de este trabajo, los cuales especifican que se trabajar exclusivamente con particiones NTFS, los siguientes elementos no sern contemplados para el anlisis de posible evidencia:
Todo registro temporal
Memoria cache
Tabla de ruta, tabla de proceso, ncleo de estadsticas
Memoria principal
Configuracin fsica
Topologa de red
7. Autenticacin matemtica de los datos
Para verificar la integridad de los datos tomados, se realiza la suma con el algoritmo de reduccin criptogrfica md5, la cual se puede calcular con la misma herramienta con la que se hizo la imagen, dicho archivo se encuentra en el disco duro externo. El resultado del clculo se puede observar en la siguiente tabla:
Tabla 1 MD5 de la imagen obtenida de la mquina vctima
Archivo Imagen
Archivo Clculo md5 de la imagen
Resultado Clculo md5
Imagen.dd
Imagen.dd.md5
0d6a96dc7e883792321dcc9747f43492
Tabla 3 MD5 de la imagen obtenida de la mquina vctima
8. Recolectar la informacin persistente
Debido a que la aplicacin de esta gua se enmarca en un mbito acadmico y que no se cuenta con los recursos necesarios de almacenamiento fsico, en este caso slo se trabajar con una copia de la particin obtenida en la escena del crimen en el paso 4.2.5.
ETAPA DE ANLISIS DE EVIDENCIA
9. Clasificar la posible evidencia en orden cronolgico
Para cumplir con el objetivo de este paso se utilizo una herramienta que otorga SleuthKit, la cual genera un registro (archivo plano (.txt)) que contiene en orden cronolgico las acciones que se realizaron sobre todos los archivos del computador a analizar.
Este registro contiene un estructura en donde se describe el da y hora, tamao, tipo de accin realizada sobre ese archivo (m (modificado), a (accedido), c (cambiado), b (creado)), modo, user id o el user name, group id, direccin de Meta Data, y en nombre del archivo.
De este modo, se cuenta con un archivo consolidado con el que se prosigue a analizar detalladamente cada registro en busca de los archivos que se clasificarn como sospechosos para su posterior anlisis. Asimismo se genera una grafica en forma de la lnea de tiempo para visualizar de una mejor forma los eventos ocurridos en la maquina vctima.
Para obtener el archivo con la lnea de tiempo, lo primero que se hace es definir el intervalo de tiempo a analizar sobre la imagen. En nuestro caso, tomamos un rango con base a la entrevista realizada en el paso 4.2.2 al usuario del computador, de ah obtuvimos que el ataque pudo haberse realizado entre los ltimos das de octubre y los primeros de noviembre, por tanto las fechas seleccionadas fueron 28 de octubre a 2 de noviembre del 2009. El archivo resultante se puede encontrar en el Anexo 4.
Ilustracin 2 Lnea de tiempo definitiva
Luego de analizar detalladamente el archivo de la lnea de tiempo, se genera una tabla con los posibles registros que tengan indicios de lo que se efectu en el ataque, como lo son posibles aplicaciones de herramientas Anti Forenses, archivos manipulados en horas en la que pudo ocurrir el ataque, segn datos recolectados en el paso 4.2.2, o simplemente archivos que generen alguna sospecha al investigador.
Como resultado del anlisis se genera la tabla a continuacin que contiene los archivos a los que se le prestara principal atencin y cuidado en el transcurso de la investigacin.
ID
Fecha/hora
Accin
Direccin metadata
Direccin en disco
1
2/11/09, 3:19:13
A
112831
C:/WINDOWS/Prefetch/SLACKER.EXE
2
2/11/09, 4:11:45
MC
112831
C:/WINDOWS/Prefetch/SLACKER.EXE
3
2/11/09, 4:12:09
A
111048
C:/Documents and Settings/Administrador/Mis documentos/Descargas/md5sum(2).exe
4
2/11/09, 4:12:43
M
111048
C:/Documents and Settings/Administrador/Mis documentos/Descargas/md5sum(2).exe
5
2/11/09, 4:12:56
C
111048
C:/Documents and Settings/Administrador/Mis documentos/Descargas/md5sum(2).exe
6
2/11/09, 4:26:47
A
110058
C:/WINDOWS/Prefetch/TIMESTOMP.EXE
7
2/11/09, 4:33:14
C
75744
C:/insteelmd.exe
8
2/11/09, 4:37:17
A
109001
C:/Nomina.xlsx
9
2/11/09, 4:38:24
C
109001
C:/Nomina.xlsx
10
2/11/09, 4:47:17
MC
110058
C:/WINDOWS/Prefetch/TIMESTOMP.EXE
11
2/11/09, 4:48:22
MAC
110284
C:/WINDOWS/Prefetch/EVIDENCEELIMINATOR.6.02.EXE
12
2/11/09, 4:48:22
MAC
110358
C:/WINDOWS/Prefetch/GLB36.TMP
13
2/11/09, 4:48:26
C
3543
C:/Documents and Settings/Administrador/Configuracin local/Temp/GLB1A2B.EXE
14
2/11/09, 4:48:28
A
34316
C:/Archivos de programa/Evidence Eliminator/Ee.exe
15
2/11/09, 4:48:37
C
9982
C:/WINDOWS/system32/EEGenFn1.dll
16
2/11/09, 4:48:37
A
111017
C:/WINDOWS/Prefetch/GLJ38.TMP
17
2/11/09, 4:48:40
MC
111017
C:/WINDOWS/Prefetch/GLJ38.TMP
18
2/11/09, 4:49:00
MC
34183
C:/Documents and Settings/Administrador/Configuracin local/Temp/bassmod.dll
19
2/11/09, 4:49:10
MAC
110168
C:/WINDOWS/Prefetch/EVIDENCEELIMINATOR.6.02_PATCH
20
2/11/09, 4:49:42
MAC
110170
C:/WINDOWS/Prefetch/EE.EXE-052B4756
21
2/11/09, 4:55:54
MC
112802
image.dd-img.jpg
22
2/11/09, 4:55:55
MC
112806
image.dd-img2.jpg
23
2/11/09, 4:55:55
MC
112807
image.dd-img3.jpg
24
2/11/09, 4:55:55
MC
112808
image.dd-img.4jpg
25
2/11/09, 4:55:55
MC
112809
image.dd-img5.jpg
26
2/11/09, 4:55:55
MC
112810
image.dd-img6.jpg
27
2/11/09, 4:55:55
MC
112811
image.dd-img7.jpg
28
2/11/09, 4:55:55
MC
112814
image.dd-img10.jpg
29
2/11/09, 4:55:55
MC
112815
image.dd-img11.jpg
30
2/11/09, 4:55:55
MC
112816
image.dd-img12.jpg
31
2/11/09, 4:55:55
MC
112817
image.dd-img13.jpg
32
2/11/09, 4:55:56
MC
112799
image.dd-timestomp.exe
33
2/11/09, 4:55:56
MC
112801
image.dd-slacker.exe
34
2/11/09, 4:55:56
MC
112812
image.dd-img8.jpg
35
2/11/09, 4:55:56
MC
112813
image.dd-img9.jpg
36
2/11/09, 4:55:56
MC
112830
image.dd-imgg.jpg
37
2/11/09, 4:55:56
MC
112833
image.dd-imgg1.jpg
38
2/11/09, 4:55:56
MC
112834
image.dd-imgg2.jpg
39
2/11/09, 4:55:56
MC
112835
image.dd-imgg3.jpg
40
2/11/09, 4:55:57
MC
112836
image.dd-wp.jpg
41
2/11/09, 4:55:57
MC
112837
image.dd-wp_1.jpg
42
2/11/09, 4:55:57
MC
112838
image.dd-wp_2.jpg
43
2/11/09, 4:55:57
MC
112839
image.dd-wp_3.jpg
44
2/11/09, 4:55:57
MC
112840
image.dd-wp_4.jpg
45
2/11/09, 4:55:57
MC
112841
image.dd-wp_5.jpg
46
2/11/09, 4:55:57
MC
112842
image.dd-wp_6.jpg
47
2/11/09, 4:55:58
MAC
112839
image.dd-af
48
2/11/09, 5:2:31
A
3543
C:/Documents and Settings/Administrador/Configuracin local/Temp/GLB1A2B.EXE
49
2/11/09, 5:2:39
C
34194
C:/WINDOWS/system32/Eeshellx.dll
50
2/11/09, 5:2:39
C
34316
C:/Archivos de programa/Evidence Eliminator/Ee.exe
51
2/11/09, 5:2:40
C
34324
C:/WINDOWS/system32/EEGenFn1.dll
52
2/11/09, 5:2:41
MAC
8650
C:/WINDOWS/Prefetch/UNWISE.EXE
53
2/11/09, 5:2:53
MAC
34193
C:/Archivos de programa/Evidence Eliminator
54
2/11/09, 5:2:53
MAC
9346
C:/WINDOWS/Prefetch/GLB1A2B.EXE
Tabla 4 Archivos con indicios
Como consecuencia del anlisis de la tabla anterior, se pueden empezar a construir hiptesis acerca del caso, como lo son el uso de algunos ejecutables que aplican tcnicas forenses como es el caso de slacker.exe, que proporciona funciones para el ocultamiento de la informacin; timestomp.exe que permite modificar atributos de marcas de tiempo en los archivos y finalmente ee.exe que destruye una extensa variedad de evidencia que se puede generar en un ataque.
Asimismo, se puede observar que se produjo alguna manipulacin del archivo Nmina.xlsx, el cual fue mencionado como sospechoso desde la entrevista realizada en el paso 4.2.2.
10. Determinar el estado y la ubicacin de la informacin
Debido a que en la maquina vctima solo existe una particin, para la investigacin se cuenta con una nica ubicacin en donde se recopila toda la informacin que ser objeto de estudio.
De otra parte al ser la maquina vctima, responsabilidad de un nico usuario, se puede sospechar que dicha persona es el autor del ataque. Sin embargo, acorde con la hora en que la mayora de los archivos sospechosos tuvieron alguna actividad, se disminuye la posibilidad que el ataque fuera efectuado por este personaje. Por consiguiente, aumenta la posibilidad de que la mquina haya sido atacada por un agente externo.
En la siguiente tabla se muestra el estado de cada uno de los archivos sospechosos junto con el autor; sin embargo ya que slo existe una sesin en la mquina vctima (administrador), no vara el autor de los archivos. Por otro lado, para el estado de los datos encontrados se manejarn las siguientes siglas:
A, para Activo
B, para Borrado
E, para Eliminado
J, para Ejecucin
O, para Oculto
Adicionalmente, se agreg una columna con el propsito de otorgar una breve descripcin del archivo encontrado, incluyendo el fabricante y lo que puede hacer en el sistema.
ID
Estado
Descripcin
1
J
Herramienta anti-forense que oculta archivos en el slack space de otros. Pertenece al proyecto MAFIA de Metasploit.
2
J
Herramienta anti-forense que oculta archivos en el slack space de otros. Pertenece al proyecto MAFIA de Metasploit.
3
A
Aplicacin Unix que calcula la suma MD5 de un determinado archivo. Desarrollado por eTree.
4
A
Aplicacin Unix que calcula la suma MD5 de un determinado archivo. Desarrollado por eTree.
5
J
Aplicacin Unix que calcula la suma MD5 de un determinado archivo. Desarrollado por eTree.
6
J
Herramienta anti-forense que altera las estampillas de tiempo de un archivo. Pertenece al proyecto MAFIA de Metasploit.
7
A
Instalador de Evidence Eliminator programa que ayuda al borrado seguro de todo tipo de archivos. Robin Hood Software.
8
A
Archivo de Microsoft Office Excel 2007.
9
A
Archivo de Microsoft Office Excel 2007.
10
J
Herramienta anti-forense que altera las estampillas de tiempo de un archivo. Pertenece al proyecto MAFIA de Metasploit.
11
J
Archivo ejecutable de Evidende Eliminator. Robin Hood Software.
12
J
Ejecuta archivos que se almacenan en carpetas temporales de Windows y as mismo crea y destruye procesos del disco. Su constructor es desconocido.
13
A
Infeccin Spyware. Constructor desconocido.
14
A
Archivo ejecutable de Evidende Eliminator. Robin Hood Software.
15
A
Librera que Evidence Eliminator inyecta al sistema operativo para su funcionamiento. Robin Hood Software.
16
J
Archivo troyano que se aloja en los archivos temporales de Windows y funciona descargando otros archivos por internet. Constructor desconocido.
17
J
Archivo troyano que se aloja en los archivos temporales de Windows y funciona descargando otros archivos por internet. Constructor desconocido.
18
A
Archivo descrito como un Troyano el cual descarga archivos en masa por internet. Constructor desconocido.
19
J
Parche para crackear el programa Evidence Eliminator. Autor desconocido.
20
J
Archivo ejecutable de Evidende Eliminator. Robin Hood Software.
21
E
Imagen con extensin del archivo comprimido jpg.
22
E
Imagen con extensin del archivo comprimido jpg.
23
E
Imagen con extensin del archivo comprimido jpg.
24
E
Imagen con extensin del archivo comprimido jpg.
25
E
Imagen con extensin del archivo comprimido jpg.
26
E
Imagen con extensin del archivo comprimido jpg.
27
E
Imagen con extensin del archivo comprimido jpg.
28
E
Imagen con extensin del archivo comprimido jpg.
29
E
Imagen con extensin del archivo comprimido jpg.
30
E
Imagen con extensin del archivo comprimido jpg.
31
E
Imagen con extensin del archivo comprimido jpg.
32
E
Herramienta anti-forense que altera las estampillas de tiempo de un archivo. Pertenece al proyecto MAFIA de Metasploit.
33
E
Herramienta anti-forense que oculta archivos en el slack space de otros. Pertenece al proyecto MAFIA de Metasploit.
34
E
Imagen con extensin del archivo comprimido jpg.
35
E
Imagen con extensin del archivo comprimido jpg.
36
E
Imagen con extensin del archivo comprimido jpg.
37
E
Imagen con extensin del archivo comprimido jpg.
38
E
Imagen con extensin del archivo comprimido jpg.
39
E
Imagen con extensin del archivo comprimido jpg.
40
E
Imagen con extensin del archivo comprimido jpg.
41
E
Imagen con extensin del archivo comprimido jpg.
42
E
Imagen con extensin del archivo comprimido jpg.
43
E
Imagen con extensin del archivo comprimido jpg.
44
E
Imagen con extensin del archivo comprimido jpg.
45
E
Imagen con extensin del archivo comprimido jpg.
46
E
Imagen con extensin del archivo comprimido jpg.
47
E
Fichero eliminado.
48
A
Ejecuta archivos que se almacenan en carpetas temporales de Windows y as mismo crea y destruye procesos del disco. Su constructor es desconocido.
49
A
Librera que Evidence Eliminator inyecta al sistema operativo para su funcionamiento. Robin Hood Software.
50
A
Archivo ejecutable de Evidende Eliminator. Robin Hood Software.
51
A
Librera que Evidence Eliminator inyecta al sistema operativo para su funcionamiento. Robin Hood Software.
52
J
Archivo el cual desinstala aplicaciones con instalador Wise. Constructor varia en las aplicaciones.
53
A
Fichero que aloja el software Evidence Eliminator.
54
J
Ejecuta archivos que se almacenan en carpetas temporales de Windows y as mismo crea y destruye procesos del disco. Su constructor es desconocido.
Tabla 5 Estado y descripcin de archivos sospechosos encontrados
Mediante la anterior tabla, se puede observar una serie de comportamientos anormales segn el uso que el usuario de la mquina dijo que se le daba. En la siguientes dos secciones se analizan dichos archivos.
11. Clasificar la evidencia segn el nivel de susceptibilidad
Como se mencion anteriormente, el objetivo principal de este trabajo se centra en el sistema de archivos NTFS, razn por la cual el nivel de susceptibilidad se reduce a este.
12. Para la evidencia encontrada a nivel de sistema de archivos, determinar la tcnica anti-forense posiblemente materializada
12.1. Obtencin de informacin escondida u oculta
Deteccin de datos ocultos en Cluster daados:
Partiendo de los resultados que arroj el anlisis del archivo C:/$BadClus:$Bad se concluye que no existen datos ocultos en los cluster daados debido a que en este archivo no se encuentra ningn cluster marcado como daado.
Deteccin de datos ocultos en el File Slack
Con el objetivo de delimitar el anlisis de los file slack, se filtraron los archivos sospechosos para generar una tabla con los archivos que tienen indicios de manipulacin de la herramienta slacker; la cual utiliza mtodos para ocultar datos en el file slack. Estos indicios se obtuvieron al analizar el orden consecutivo en el que se tiene registro de ejecucin de Slacker y la manipulacin de estos archivos; esto se puede observar en los resultados de la seccin 4.2.9 clasificar la posible evidencia en orden cronolgico.
La tabla que se muestra a continuacin contiene los archivos a los que se les realizara el anlisis de file slack.
Direccin en disco
Tamao
Estado
C:/af/img2.jpg
196608
Eliminado
C:/af/ img3.jpg
196608
Eliminado
C:/af/ img4.jpg
196608
Eliminado
C:/af/ img5.jpg
196608
Eliminado
C:/af/ img6.jpg
196608
Eliminado
C:/af/ img7.jpg
196608
Eliminado
C:/af/ img8.jpg
196608
Eliminado
C:/af/ img9.jpg
196608
Eliminado
C:/af/ img10.jpg
196608
Eliminado
C:/af/ img11.jpg
196608
Eliminado
C:/af/ img12.jpg
196608
Eliminado
C:/af/ img13.jpg
196608
Eliminado
C:/af/imgg.jpg
720896
Eliminado
C:/af/ imgg1.jpg
720896
Eliminado
C:/af/ imgg2.jpg
720896
Eliminado
C:/af/ imgg3.jpg
720896
Eliminado
C:/af/wp.jpg
1179648
Eliminado
C:/af/wp_1.jpg
1179648
Eliminado
C:/af/ wp_2.jpg
1179648
Eliminado
C:/af/ wp_3.jpg
1179648
Eliminado
C:/af/ wp_4.jpg
1179648
Eliminado
C:/af/ wp_5.jpg
1179648
Eliminado
C:/af/ wp_6.jpg
1179648
Eliminado
Tabla 6 Estado de los archivos encontrados en el espacio slack
Al analizar los archivos listados en la tabla anterior se encontr lo siguiente:
Comparando la hora y fecha que arroja la lnea de tiempo para la ejecucin de Slacker y los atributos MACE (Modificado, Accedido, Creado, Entrada Modificada) de los archivos, se observa que coinciden con el ultimo acceso a cada archivo. Con esto se puede corroborar que los archivos probablemente se hayan manipulado con esta herramienta antiforense.
Partiendo que el estado de los archivos se encuentra en eliminado, se analiz con el editor hexadecimal el contenido de cada uno de los archivos. Se observ que tenan todos los datos en cero, lo que pudo ser a causa de una sobrescritura con un patrn de ceros. Por esta razn, se imposibilit la obtencin de alguna informacin almacenada en el file slack.
Debido a que el anlisis del file slack no arrojo ningn resultado contundente, solo se genera un indicio de la aplicacin de herramientas para ocultar informacin en el file slack, la cual es el uso de slacker.exe, que se evidencia en la lnea de tiempo.
Sin embargo, se debe tener en cuenta el patrn de ceros que contienen los archivos, ya que en la lnea de tiempo se puede observar el uso de Evidence Eliminator, la cual proporciona funciones para el borrado seguro. Por ende, este hecho se tomar como un indicio de la posible ejecucin de Evidence Eliminator en estos archivos.
Las figuras a continuacin muestran el anlisis de la evidencia que se realiz en este paso.:
Ilustracin 3 Anlisis MACE
En la anterior figura se muestra la fecha de ultimo acceso para el archivo ima2.jpg la cual se genero minutos despus de la ejecucin de Slacker que fue el 2009.11.02 a las 03:03:19.
Ilustracin 4 Anlisis Datos img2.jpg
12.2. Obtencin de la informacin borrada
Los archivos eliminados que se analizaran en este paso sern los que se encuentran en el directorio C:/af. debido a que este directorio contiene la mayora de los archivos sospechosos o potencialmente analizables.
Los archivos que se recuperaran para su anlisis se listan a continuacin.
Direccin en disco
Estado
C:/af/img2.jpg
Eliminado
C:/af/ img3.jpg
Eliminado
C:/af/ img4.jpg
Eliminado
C:/af/ img5.jpg
Eliminado
C:/af/ img6.jpg
Eliminado
C:/af/ img7.jpg
Eliminado
C:/af/ img8.jpg
Eliminado
C:/af/ img9.jpg
Eliminado
C:/af/ img10.jpg
Eliminado
C:/af/ img11.jpg
Eliminado
C:/af/ img12.jpg
Eliminado
C:/af/ img13.jpg
Eliminado
C:/af/imgg.jpg
Eliminado
C:/af/ imgg1.jpg
Eliminado
C:/af/ imgg2.jpg
Eliminado
C:/af/ imgg3.jpg
Eliminado
C:/af/wp.jpg
Eliminado
C:/af/wp_1.jpg
Eliminado
C:/af/ wp_2.jpg
Eliminado
C:/af/ wp_3.jpg
Eliminado
C:/af/ wp_4.jpg
Eliminado
C:/af/ wp_5.jpg
Eliminado
C:/af/ wp_6.jpg
Eliminado
C:/Nomina.xls
Eliminado
TimeStomp.exe
Eliminado
Slacker.exe
Eliminado
EE.rar
Eliminado
EE.exe
Eliminado
Tabla 7 Archivos borrados
Como se observ en pasos anteriores, para estos archivos no fue posible recuperar su contenido ya que se utiliz una herramienta de borrado seguro para su eliminacin; esto se evidencia en tanto todos los archivos listados tienen sus datos en ceros [45], lo cual es un indicio identificado del uso de una herramienta de borrado seguro.
Partiendo de la premisa que en este ataque se utiliz una herramienta de borrado seguro, se empiezan a encadenar suceso y evidencias ya encontradas, como lo es la ejecucin de Evidence Eliminator que se observa en la lnea de tiempo en la fecha 2009.11.02 a las 04:49:42. Comparando la fecha de modificacin de los archivos analizados en este paso, se observa que es minutos despus de la ejecucin de Evidence Eliminator como lo muestra la ilustracin 64.
Ilustracin 5 Anlisis MACE 2
En bsqueda de un indicio ms contundente de la aplicacin de la herramienta Evidence Eliminator en este ataque se busca en toda la imagen del disco duro cualquier otra evidencia. Como resultado de esta exhaustiva bsqueda se encontr que Evidence Eliminator realiza una inyeccin de un .dll (Dynamic Linking Library) que contienen los mtodos y funciones con las que realiza el borrado seguro. Este .dll se llama EEGenFn1.dll; asimismo tambin se observa que los atributos MACE de este .dll conciden con las fechas de ejecucin del Evidence Eliminator, adems hay que sumarle que se observa la utilizacin de dicho dll en la lnea de tiempo.
Esto de se puede observar en las figuras a continuacin.
Ilustracin 6 Atributos MACE EEGenFn1.dll
Ilustracin 7 Contenido EEGenFn1.dll
De la misma forma tambin se encontr que el archivo ~GLH0091.TMP fue utilizado por la herramienta Evidence Eliminator, por sus atributos MACE y por lo encontrado en su contenido como lo muestra la siguiente figura:
Ilustracin 8 Anlisis ~GLH0091
12.3. Identificacin de informacin falsificada
En los archivos clasificados como sospechosos, se encuentran indicios de la aplicacin de la herramienta timestomp.exe, que falsifica y modifica los atributos MACE. Partiendo lo que se observa en la lnea de tiempo la ejecucin de timestomp.exe se realiz en la fecha 2009.11.02 a las 04:26:47 y al archivo Nomina.xls se accedi en la misma fecha, a las 04:37:17. Por esta razn se sospecha que esta herramienta se aplic en el archivo Nomina.xls.
Ilustracin 9 Lnea de tiempo Nomina.xls
Al analizar los valores MACE del atributo SIA ($STANDARD_INFORMATION Attribute) y los de los atributos FN ($FILE_NAME Attribute) del archivo Nomina.xls que se muestran en la figura 8, se observa que son iguales, lo que puede significar que despus de que se aplic la herramienta timestomp.exe el archivo fue cambiado de ubicacin; esto se deduce puesto que los atributos FN solo se modifican la primera vez que se crea el archivo y cuando es modificada su ubicacin. Pero gracias a los datos encontrados en la lnea de tiempo, se puede concluir que los valores MACE de este archivo son falsos ya que su ltima modificacin debera estar en la fecha 2009.11.02 a las 04:37:17.
Ilustracin 10 Valores MACE Nomina.xls
12.4. Identificacin de la eliminacin de fuentes de la evidencia
Despus del anlisis no se encontr ningn indicio de aplicacin de tcnicas anti forenses que atentaran o eliminaran fuentes de la evidencia.
13. Aplicar protocolos de informtica forense para el anlisis de la evidencia
Para el anlisis de la evidencia se utilizaron los protocolos y mtodos necesarios en el paso anterior, lo que significa que este paso se omitir.
14. Clasificacin de la evidencia
Segn la evidencia encontrada y partiendo de los resultados arrojados por el anlisis a los archivos que se les aplico alguna tcnica anti forense son:
a) Destruccin de la evidencia.
Direccin en disco
Estado
C:/af/img2.jpg
Eliminado
C:/af/ img3.jpg
Eliminado
C:/af/ img4.jpg
Eliminado
C:/af/ img5.jpg
Eliminado
C:/af/ img6.jpg
Eliminado
C:/af/ img7.jpg
Eliminado
C:/af/ img8.jpg
Eliminado
C:/af/ img9.jpg
Eliminado
C:/af/ img10.jpg
Eliminado
C:/af/ img11.jpg
Eliminado
C:/af/ img12.jpg
Eliminado
C:/af/ img13.jpg
Eliminado
C:/af/imgg.jpg
Eliminado
C:/af/ imgg1.jpg
Eliminado
C:/af/ imgg2.jpg
Eliminado
C:/af/ imgg3.jpg
Eliminado
C:/af/wp.jpg
Eliminado
C:/af/wp_1.jpg
Eliminado
C:/af/ wp_2.jpg
Eliminado
C:/af/ wp_3.jpg
Eliminado
C:/af/ wp_4.jpg
Eliminado
C:/af/ wp_5.jpg
Eliminado
C:/af/ wp_6.jpg
Eliminado
C:/Nomina.xls
Eliminado
TimeStomp.exe
Eliminado
Slacker.exe
Eliminado
EE.rar
Eliminado
EE.exe
Eliminado
Tabla 8 Archivos destruidos
b) Ocultar la evidencia.
Direccin en disco
Estado
C:/af/img2.jpg
Eliminado
C:/af/ img3.jpg
Eliminado
C:/af/ img4.jpg
Eliminado
C:/af/ img5.jpg
Eliminado
C:/af/ img6.jpg
Eliminado
C:/af/ img7.jpg
Eliminado
C:/af/ img8.jpg
Eliminado
C:/af/ img9.jpg
Eliminado
C:/af/ img10.jpg
Eliminado
C:/af/ img11.jpg
Eliminado
C:/af/ img12.jpg
Eliminado
C:/af/ img13.jpg
Eliminado
C:/af/imgg.jpg
Eliminado
C:/af/ imgg1.jpg
Eliminado
C:/af/ imgg2.jpg
Eliminado
C:/af/ imgg3.jpg
Eliminado
C:/af/wp.jpg
Eliminado
C:/af/wp_1.jpg
Eliminado
C:/af/ wp_2.jpg
Eliminado
C:/af/ wp_3.jpg
Eliminado
C:/af/ wp_4.jpg
Eliminado
C:/af/ wp_5.jpg
Eliminado
C:/af/ wp_6.jpg
Eliminado
Tabla 9 Archivos ocultados
c) Eliminacin de las fuentes de la evidencia.
No aplica
d) Falsificacin de la evidencia.
Direccin en disco
Estado
C:/Nomina.xls
Eliminado
Tabla 10 Evidencia falsificada
e) Matriz de aplicacin de ms de una tcnica antiforense
Tcnica AF (Fecha y Hora)
Slacker (20009.11.02 - 03:19:13)
Timestomp (2009.11.02 - 04:26:47)
Evidence Eliminator (20009.11.02 - 04:48:22)
----------------------
Nomina.xls
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/img2.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img3.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img4.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img5.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img6.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img7.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img8.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img9.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img10.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img11.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img12.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ img13.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/imgg.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ imgg1.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ imgg2.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ imgg3.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/wp.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/wp_1.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ wp_2.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ wp_3.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ wp_4.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ wp_5.jpg
Evidence Eliminator (20009.11.02 - 04:48:22)
C:/af/ wp_6.jpg
Tabla 11 Relacin de tcnicas anti-forenses en la escena
15. Resultados del anlisis
Con los resultados que muestra el anlisis, se puede concluir que en este ataque se utilizaron tres herramientas antiforenses que corresponden a la aplicacin de tres tcnicas que son: Destruccin de la evidencia, Ocultar la evidencia y Falsificacin de la evidencia. Asimismo se observ que se aplicaron conjunta y paralelamente dichas herramientas. Esto dificult el trabajo de los investigadores como fue el caso de los datos que se almacenaron en el slack space por la herramienta Slacker.exe, ya que estos datos fueron imposibles de recuperar, por lo que el atacante logro eliminar evidencia vital para la investigacin.
Estos resultados revelan que la aplicacin de tcnicas antiforenses a nivel de sistemas de archivos no dejan rastros claros, de igual forma logran de alguna forma disminuir el xito de la investigacin, ya que la evidencia digital encontrada esta en forma borrosa y poco clara.