5 herramientas esenciales para aprender sobre SIFT Workstation
- Capa de gestión de medios
- Capa de sistema de archivos
- Capa de archivos («The Human Interface»)
- Capa de metadatos («Inode»)
- Capa de contenido («Block»)
Convenientemente, el nombre de cada herramienta se corresponde con su propósito a través de un formato consistente de prefijo/sufijo. Por ejemplo, la herramienta «mmls», que se utiliza para mostrar la disposición de las particiones de un sistema de volumen. El prefijo «mm» indica que opera en la capa de gestión de medios, mientras que el sufijo «ls» es simplemente el comando de Linux «ls», utilizado para listar archivos y directorios. En efecto, «mmls» le proporcionará una disposición de lista de las particiones en un sistema de volumen, que incluye tablas de partición y etiquetas de disco.
Sin embargo, con respecto a la herramienta «icat», su prefijo «i» denota que está operando en la capa de inodo (metadatos), mientras que el sufijo es simplemente el comando de Linux «cat» y se utiliza para mostrar el contenido de un archivo. Basándonos sólo en el nombre de la herramienta, podemos deducir con exactitud que «icat» mostrará el contenido de un archivo basándose en su número de inodo. Mejor aún, la Estación de Trabajo SIFT también viene con «Autopsy», una interfaz GUI que abstrae y simplifica la interacción con los programas y plugins de TSK.
Ya sea que prefiera trabajar desde la línea de comandos o a través de una interfaz de navegador web, TSK/Autopsy le proporcionará las herramientas necesarias para realizar un examen forense detallado y robusto.
Volatilidad
Los ciberataques modernos son cada vez más sofisticados a la hora de evadir la detección y a menudo no dejan artefactos forenses en el disco duro de la máquina víctima. Esto, junto con el uso generalizado de la encriptación de todo el disco, ha dado una importancia aún mayor a la capacidad de extraer y realizar un análisis detallado del volcado de memoria de un sistema informático.
El uso de Volatility permite a un examinador llevar a cabo análisis forenses de la memoria y determinar un gran volumen de información valiosa. Volatility puede identificar procesos fraudulentos y rootkits, así como recuperar hashes de contraseñas y pruebas de inyección de código malicioso. El marco de trabajo de Volatility está hecho a medida para llevar a cabo la respuesta a incidentes y el análisis de malware y, en mi opinión, es un aprendizaje obligatorio para el examinador forense digital moderno.
RegRipper
En el mundo empresarial, Active Directory y las máquinas Windows son casi omnipresentes. Del mismo modo, los sistemas operativos basados en Windows representan la gran mayoría de la cuota de mercado de los usuarios domésticos. Por lo tanto, no sería sorprendente saber que una gran proporción de los delitos informáticos se cometen en máquinas Windows y, por lo tanto, una herramienta de análisis específica para Windows sería de gran valor para un examinador forense digital.
El registro de Windows es una base de datos jerárquica de claves, subclaves y valores que proporcionan ajustes críticos de bajo nivel al sistema operativo. ¿A qué hora se conectó el usuario? ¿A qué hora se conectó una unidad USB? ¿Cuál era el número de serie de esa unidad USB? ¿A qué archivos se accedió? ¿Qué usuario buscó qué? Todos estos detalles, y muchos más, se registran en el Registro. En pocas palabras, es una mina de oro absoluta para descubrir artefactos forenses.
RegRipper es una herramienta de código abierto diseñada para proporcionar una manera fácil de analizar los valores de interés del Registro con el fin de realizar un análisis forense. Para ello, el examinador proporciona el Hive del Registro relevante al que desea dirigirse, como System, o SAM, y el nombre de un plugin requerido para realizar una acción particular en el objetivo.
Por ejemplo, pasando el Hive del Sistema junto con el plugin de Apagado, RegRipper analizará rápidamente y devolverá la información relevante relacionada con la última vez que se apagó el sistema. Como puede ver, RegRipper es una herramienta increíblemente potente y un componente esencial de la estación de trabajo SIFT.
Wireshark
Ninguna lista estaría completa sin la inclusión del conocido analizador de paquetes, Wireshark. Famoso dentro de la comunidad de redes por sus habilidades de depuración y solución de problemas, la herramienta tiene la capacidad de mirar en profundidad y desentrañar los detalles de todos los datos que atraviesan el cable. Para los propósitos de la ciencia forense de la red, Wireshark proporciona a un examinador la capacidad de identificar las intrusiones y el tráfico malicioso, así como reunir información para ayudar a establecer una base contextual en torno a un posible delito.
Supongamos que un delincuente inteligente entra en la red, pero tiene cuidado de borrar todos los archivos de registro y las pruebas de su presencia en la máquina de destino. El único registro que queda de esto puede estar en el tráfico registrado por el analizador de paquetes. Wireshark proporciona un conjunto de características para ayudar a aislar e identificar el tráfico potencialmente «interesante», incluyendo el filtrado por dirección de origen, número de puerto y tipo de protocolo.
En última instancia, el análisis forense de la red ha crecido gradualmente hasta convertirse en una sub-rama vital de la investigación de los delitos digitales y Wireshark ha demostrado ser una adición inestimable a la caja de herramientas forense.
Plaso/Log2Timeline
El análisis forense requiere una atención extrema a los detalles y la construcción de una línea de tiempo precisa de los eventos es de principal importancia cuando se evalúan las pruebas en su posesión. Una línea de tiempo errónea puede ser literalmente la diferencia entre descubrir pruebas inculpatorias o exculpatorias. En lugar de sufrir lasitudes de examinar manualmente los registros de eventos, prefetch, shellbags y cotejar estos datos de fuentes dispares, SIFT Workstation ofrece una opción para crear una «Super línea de tiempo» utilizando una herramienta.
Construido sobre un motor de backend conocido como Plaso, Log2Timeline tiene la capacidad de analizar toda esta información y ensamblarla en orden temporal – todo ordenado dentro de una fuente de datos. Log2Timeline ayuda a proporcionar una gran cantidad de contexto a sus hallazgos y es excelente en la eliminación de falsos positivos.
Log2Timeline no sólo hace su trabajo más fácil, sino que también mejora la calidad de su trabajo y a menudo puede conducir a descubrir esa escurridiza «pieza final del rompecabezas» necesaria para resolver un caso. Realmente es una herramienta excepcional.
Pensamientos finales
La estación de trabajo SIFT es un marco forense de grado profesional y ofrece una abundancia de herramientas de alta calidad y de código abierto a su disposición. Te animo a que des rienda suelta a tu curiosidad y explores todo lo que te ofrece. Sin duda, estas cinco herramientas son mis favoritas del grupo y, en mi opinión, representan un aprendizaje forense digital absolutamente esencial.