pesadilla en el laboratorio - security hell conference · laboratorio obtención de evidencias ......

Pesadilla en el Laboratorio

Obtencin de evidencias digitales cuando se aplicaron medidas anti-forenses

Qu es forense digital

Combinacin mundos legal e informtico para obtener, preservar y analizar informacin de sistemas informticos y redes de modo admisible como evidencia ante un tribunal.

Principio de Intercambio de Locard: Todo contacto deja una huella.

Evidencia digital: objeto digital con informacin fiable que apoya o refuta una hiptesis. Debe ser:

Admisible. Cumplir requisitos legales para ser presentada ante un tribunal.

Autntica. Debe identificar las evidencias con el incidente. Completa. Debe reflejar todo lo ocurrido y no una perspectiva particular.

Fiable. No debe existir duda con respecto a su obtencin y custodia. Creble. Debe ser creble y comprensible ante un tribunal.


El dispositivo analizado puede ser: El arma utilizada. El cadver.

Dispositivo: escena del crimen. Buscar 5 WHs. Metodologa de obtencin de evidencias:

Copiar primero, preguntar despus (FCSE). Estudio previo de importancia, copiar lo relevante (investigadores en general).

Anlisis remoto de sistemas encendidos, copiar nicamente la evidencia objetivo (entornos empresariales).


Cadena de custodia: identificacin, transporte y almacenamiento seguro de evidencias.

Identificacin de evidencias: Registro de localizacin a lo largo del ciclo de vida.

Transporte de evidencias (recogida; depsito en laboratorio; traslado al tribunal):

Personal acreditado a travs de conducto seguro. Material apropiado (Ej. bolsas Faraday).

Almacenamiento seguro: Proteccin frente a riesgos ambientales, EMI y RFI. Control de accesos al local y personal que accede a la evidencia. Caja de seguridad Clase 100 (soporte digital). Elevado coste de almacenamiento evidencias.


Investigacin forense digital: Anlisis tcnico de objetos digitales que desarrolla y comprueba teoras admisibles ante un tribunal.

Paradigma de Inman-Rudin: Transferencia. Principio de Locard. Identificacin. Clasificacin de la evidencia. Individualizacin (afinar el paso anterior). Asociacin. Relacionar el autor con la escena del crimen. Reconstruccin (de la secuencia de sucesos).

Tipos de investigacin: corporativa o criminal.


Tcnicas de investigacin forense digital: Anlisis temporal. Anlisis de informacin oculta. Anlisis de archivos y aplicaciones. Anlisis de privilegios.

Obstculos en forense digital

Tcnicos Rpida evolucin tecnolgica. Volatilidad de objetos digitales. Presentacin de evidencias secundarias. Cifrado de informacin. Virtualizacin. Discos SSD.

Legales Difcil atribucin. Garantas constitucionales.

Econmicos Limitacin presupuestaria. Limitacin temporal.

Tcnicas Anti-Forenses digitales (AFT)

Mtodos y herramientas empleados para destruir u ofuscar objetos digitales inhabilitndolos como evidencia digital ante un tribunal.

Clasificacin: Ocultacin de informacin, ofuscacin y cifrado Falsificacin de datos Borrado de datos y destruccin fsica Prevencin de anlisis Anonimizadores de conexin. Explotacin de bugs en herramientas forenses.

El atacante dispone de ms tiempo para preparar su accin que el investigador forense para recoger y analizar objetos digitales existentes.

AFT vs Anti-AFT

AFT vs Anti-AFT identificando evidencias

M utiliza ordenador con HDD dummie; trabaja con distro Live; sus archivos guardados en Cloud/remoto; simula uso normal de HDD-> Actividad reciente en HDD har pensar a F que era unidad de trabajo.

Comprobar presencia de USBs. Monitorizar trfico de red para detectar uso de almacenamiento Cloud/remoto.

M adopta medidas anti IP tracing (proxy, reverse-proxy, tnel SSH, VPN, TOR)-> F no puede determinar IP origen.

Solicitar registros de conexin a ISP. Tener pinchada TOR. Obtener informacin del proveedor VPN.


M cifra un dispositivo/archivo mediante algoritmo criptogrfico robusto -> F no puede acceder al contenido en claro.

Dispositivo apagado-> Recuperacin por fuerza bruta. Dispositivo hibernado-> hiberfil.sys contiene dump de memoria-> pass en claro?.

Realizar anlisis en vivo del dispositivo. Test de entropa para determinar si algoritmo de cifrado es conocido.

Explotar vulnerabilidades en algoritmos cifrado custom.


M aplica transmogrifa a ficheros-> F no identifica correctamente el tipo de fichero analizado.

Utilizar Hex editor para examinar contenido de ficheros. Utilizar fuzzy hashing para detectar similitud entre ficheros.

Analizar Recent Files para detectar anomalas. M utiliza esteganografa para ocultar informacin dentro de un archivo -> El visualizado/reproduccin del archivo no permite a F descubrir la existencia de informacin oculta.

Emplear automatizacin en busca de esteganografiados.


M utiliza rootkit para enmascarar procesos en memoria-> F no identifica proceso malicioso en ejecucin.

Volcado de memoria y conexiones de red. Emplear herramientas AV/AR. Anlisis esttico del dispositivo.


M oculta informacin en espacio no utilizado del MBR (62 sectores libres)-> F no saca una imagen de unidad completa, solo de particiones de SO y datos, perdiendo dicha informacin.

Realizar copia bit a bit completa de la unidad e inspeccionar esos 62 sectores.

M oculta informacin en HPA-> F utiliza una aplicacin forense que no recupera informacin de ese rea.

Utilizar aplicaciones como EnCase, FTK, TSK.


M oculta informacin en rea DCO-> F utiliza una aplicacin forense que no recupera informacin de ese rea.

Utilizar herramientas como The ATA Forensic Tool. M utiliza slack space (file slack, partition slack o falsos bad blocks) para ocultar informacin-> F realiza extraccin lgica de unidad y no recupera la informacin oculta.

Realizar copia bit a bit de la unidad.


M utiliza Alternate Data Stream (ADS) o Extended Attribute (xattr) para asociar ms de un stream de datos a un archivo y ocultar informacin-> F no detecta esta informacin oculta.

Correlar resultados de herramientas forenses que analicen los espacios de almacenamiento menos utilizados.

Comprobar parmetros de hardware del dispositivo. Anlisis estadstico del slack space.

AFT vs Anti-AFT en obtencin de evidencias

M utiliza gran nmero de dispositivos-> F obligado a analizar todos.

Paralelizar la obtencin de evidencias. M utiliza dispositivos con conectores no estndar-> F necesita conectores especficos.

Adaptar el material a nuevas tendencias criminales. Capacidad NAND chip-off, tarjetas especiales lectura HDD, reparacin HDD

M utiliza configuracin no estndar de RAID-> F obligado a probar gran nmero de configuraciones.

Recombinar RAID en equipo de M.

AFT vs Anti-AFT en obtencin de evidencias

M utiliza dispositivos con medidas anti-tampering-> F daar la evidencia al manipularlo.

Identificacin visual del dispositivo y proceder de manera alternativa.

M daa fsicamente los dispositivos-> F no podr utilizar equipo de extraccin de evidencias habitual.

AFT vs Anti-AFT en cribado de informacin

M aplica NSRL scrubbing: Modificar todos los archivos del SO y aplicaciones instaladas (Para poder seguir ejecutando EXEs y DLLs recalcular su CRC)-> F emplea De-NISTing y no coincide nada.

Utilizar una poltica de whitelisting para buscar ficheros que coincidan.

Utilizar histogramas para detectar fechas con actividad por encima de la media.

AFT vs Anti-AFT en cribado de informacin

M modifica los timestamps (MACE times) de todos los archivos; aleatorizar peridicamente la hora de la BIOS; desactivar en Registro la actualizacin de LastAccess-> F no podr realizar un anlisis temporal.

Ignorar los timestamps en los metadatos. logs secuenciales pueden ayudar a identificar lneas temporales.

M modifica los timestamps de manera que aparentan consistencia-> F no podr saber si el timestamp de los ficheros fue modificado.

Informe Segn el log ocurri esto a esta hora.

AFT vs Anti-AFT en anlisis de informacin

M utiliza nombres de archivo restringidos (CON, PRN, AUX)-> F tardar en detectar esta situacin.

Nunca exportar archivos con sus nombres nativos. Exportar ficheros con nombre generado automticamente.

M utiliza referencias circulares (carpetas anidadas en NTFS mx 255 caracteres) para ocultar informacin delictiva-> Aplicacin de anlisis de F entra en un loop infinito o arroja una excepcin al detectar ruta mayor de 255 caracteres. No podr realizar recogida selectiva o remota de evidencias.

Obtener una imagen completa del dispositivo. Siempre trabajar desde una imagen. Emplear herramientas como EnCase y FTK.

AFT vs Anti-AFT en anlisis de informacin

M manipula los logs (broken logs). Introducir el magic number de .EVT [eLfL (0x654c664c)] en cuerpo de un evento; introduce caracteres UNICODE extendidos -> Herramienta anlisis de logs de F interpreta comienzo de nueva entrada; difcil de parsear.

Estimar si el log es estrictamente necesario. Parsear nicamente los registros necesarios manualmente. Programar un parser adecuado al log a analizar.

AFT vs Anti-AFT en generacin de informes

M aade informacin dummie a archivo a exfiltrar hasta conseguir hash MD5 coincidente con archivo legtimo del SO (ej. rundll.dll)-> De-NISTing de F considera correcto el archivo.

Utilizar funciones hash con menos colisiones (SHA-256). No confiar nicamente en hashes para determinar si un archivo es correcto.
Pesadilla en el LaboratorioQu es forense digitalQu es forense digitalQu es forense digitalQu es forense digitalQu es forense digitalObstculos en forense digitalTcnicas Anti-Forenses digitales (AFT)AFT vs Anti-AFTAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT identificando evidenciasAFT vs Anti-AFT en obtencin de evidenciasAFT vs Anti-AFT en obtencin de evidenciasAFT vs Anti-AFT en cribado de informacinAFT vs Anti-AFT en cribado de informacinAFT vs Anti-AFT en anlisis de informacinAFT vs Anti-AFT en anlisis de informacinAFT vs Anti-AFT en generacin de informes

pesadilla en el laboratorio - security hell conference · laboratorio obtención de evidencias ......

Documents