lunes, 20 de septiembre de 2021

Análisis forense con Autopsy en Windows.

Autopsy es una herramienta de informática forense desarrollada por Basis Technology  y es usada por fuerzas de seguridad, forenses y peritos por todo el mundo. Nos permite analizar imágenes de discos físicos o imágenes de discos de máquinas virtuales y encontrar todo tipo de información interesante. Autopsy está disponible para todos los sistemas operativos y podemos descargarlo en su web oficial.  



 

 

La última versión para Windows es espectacular y comparada con la versión que aparece en Caine (una distribución Linux muy usada para informática forense), esta última se ve como mínimo bastante tosca. También tenemos disponible una versión mas reciente para Gnu/Linux, pero por facilidad de instalación y uso vamos a probarla con Windows 10.

Para las pruebas usaré unas imágenes de disco de esta web https://cfreds.nist.gov/, donde tenemos disponibles múltiples imágenes de disco en varios formatos que podemos descargar para probar Autopsy (o bueno, cualquier herramienta de análisis forense). Las imágenes de disco son dos y en principio sabemos por el nombre, que pertenecen a un equipo Dell Latitude.

 

Sin mas presentaciones vamos al lío.



Lo primero descargamos el instalador de la web oficial de Autopsy y lo ejecutamos, la instalación no tiene ninguna dificultad pues es el típico instalador de Windows.


 


 


 

 

Autopsy usa el motor OpenJdk, así que tenemos que darle paso en el cortafuegos de Windows 10 en la alerta emergente que nos aparece. 



Una vez instalado procedemos a abrir nuestro primer “Case” (caso) , que es como se llaman en Autopsy las diferentes estancias o proyectos de análisis que podemos ir gestionando.

 


 

Tenemos diferentes fichas para ir rellenando los datos del caso. Nombre, dirección, correo, contacto de la persona que va a realizar el examen etc.. 

 



 

 

 

Generamos un nuevo host en donde iremos añadiendo los análisis de todos los dispositivos que vayamos analizando.



Seleccionamos imagen de disco


 

Aparece en el menú del explorador solo uno de los discos de momento, lo seleccionamos y luego volveremos a por el otro. 



Seleccionamos los diferentes módulos que queremos aplicar a la búsqueda, seleccionaremos todos en este caso (vienen ya preseleccionados). 

 

 


Una vez añadida la imagen Autopsy pasa al proceso de "ingesta", en el que monta la imagen y analiza los datos. Nos tocará esperar mas o menos tiempo en función del tamaño del disco, lógicamente. Tenemos una barra de progreso abajo a la derecha.

 


 

En el panel lateral vemos como se van agrupando los datos recabado organizados por categorías. 




Podemos ver que hay (o había) 32 programas instalados pero también podemos ver otros datos como el historial web, el listado de documentos recientes etc, pero la verdad que hemos obtenido poca información, vamos a por el segundo disco de imagen.

 


 


 

Hacemos clic en el botón “Add Data Source” arriba a la derecha para volver al menú que vimos al principio. 

 


 

Lo añadimos al mismo “Host” que creamos anteriormente.



Si tenemos instalado Autopsy en una maquina física podemos añadir un disco físico (con el cable Sata o USB) y analizarlo con la opción "Local Disk".

 

Vamos a intentar montar la segunda imagen, esta vez probaremos la opción “Logical Files”.

 


 

 

 


Ahora si nos aparecen ambas imágenes, añadiremos la segunda.


Bingo!, podemos ver que ha aparecido mas información, podemos consultar el árbol de carpetas de esa máquina e incluso podemos recuperar información borrada. Por supuesto si hay alguna contraseña almacenada, Autopsy la recuperará.

 


 

Lo mas divertido de Autopsy es usar el buscador de palabras clave "Keyword Search", donde podemos buscar palabras que nosotros podamos intuir que puedan aparecer entre los datos. Saber como funcionan los servicios, programas y aplicaciones nos facilitará mucho la búsqueda, con este buscador se podrían buscar scripts, archivos de configuración, mensajes de correo y todos aquellos archivos que ya sabemos de antemano que son sospechosos (por no hablar de malware). De momento nos conformamos con usar las  típicas hack, crack y password




La información resultante de las búsquedas queda organizada por pestañas.


Lo que hace de Autopsy una herramienta fenomenal, aparte de la profundidad del análisis que efectúa; es su capacidad de organizar los resultados, pudiendo agrupar los análisis en función del tipo de análisis que se necesite. Por ejemplo, se podrían agrupar la memorias de todos los dispositivos de una red que ha sufrido un ataque de malware en un solo "Case", y cada imagen de disco con su "Host". 

Pero es que además, se pueden crear fichas con los datos personales de los contactos que recuperemos de mensajes de correo o documentos, lo que nos permite un mejor análisis de quienes hayan accedido al equipo o hayan interactuado con el usuario de alguna manera. 

Por otra parte la opción "Timeline"  nos muestra un histórico de uso con todos los detalles acerca de acceso y modificación de archivos, software instalado, de los correos enviados o recibidos y otros datos relevantes.

 

 


 

Como vimos con Openvas, Autopsy tiene la capacidad de hacer reportes detallados en varios formatos entre ellos Html y Excel.

 

 



 

Reporte del análisis en Html.

 

Por supuesto, nuestros teléfonos smartphone también tienen una memoria, de la que se puede hacer una imagen. Para estos casos, Autopsy tiene algunas opciones especiales.

Por ejemplo con el menú "Communications" podemos visualizar algunos números de teléfono y direcciones de correo usados por el dispositivo así como recolectar algunos contactos de la agenda. 

Si el dispositivo móvil tenía la localización activa podemos consultar los datos en el menú "Geolocation".


 

Como véis Autopsy en un programa magnífico, y en cierto modo terrorífico, pues con él ningún disco está seguro; Os recomiendo que probéis Autopsy; la descarga es gratis, se puede instalar en una máquina virtual, y probad con vuestros discos, igual os lleváis una sorpresa.

Ya para terminar os querría recomendar algunos post anteriores donde probamos herramientas para almacenamiento seguro de la información

 

No hay comentarios:

Publicar un comentario