Casi todos los procesos físicos de la empresa se han trasladado a sistemas de información que procesan la información en instalaciones propias o arrendadas de redes corporativas establecidas. Este enfoque permitió agilizar el procesamiento de la información y, por lo tanto, aumentar la competitividad de la empresa. Sin embargo, debido a errores de diseño y programación, el sistema presenta vulnerabilidades, que son explotadas por intrusos que realizan diversos tipos de amenazas. Por ejemplo, tras las filtraciones de grandes bancos, se involucró la investigación forense en los incidentes.
Su arsenal incluye no solo un conjunto de utilidades básicas del sistema, sino también potentes marcos que permiten el análisis automatizado y simplifican el trabajo con datos masivos. En este tutorial, analizaremos un caso práctico de investigación de incidentes mediante este marco.
Pasos preparatorios
Primero, instalemos AutoPsy desde el sitio web oficial del desarrollador o consultemos el Windows gerente de empaquetación:
winget install SleuthKit.Autopsy 
Después, podemos ir a la ventana principal, donde aparece un menú con proyectos. Crearemos uno nuevo y especificaremos la fuente desde la que conectaremos nuestros datos:
Creemos un nuevo proyecto sobre el incidente, donde establecemos el directorio donde se almacenan nuestros datos y su nombre:
Después de crear una base de datos vacía para el incidente donde se almacenarán los artefactos y entidades, seleccione la fuente de datos:
Y también seleccione los módulos principales que realizarán sus análisis de disco:
Después, AutoPsy comenzará a analizar los datos proporcionados, así como a taxonomizarlos, lo que puede llevar una cantidad considerable de tiempo.
Investigación
Para realizar una investigación, es necesario seguir el concepto de que, entre el conjunto de datos analizados de un dispositivo de almacenamiento no volátil, necesitamos encontrar entidades IOC, artefactos de sus procedimientos, herramientas: hash de virus, direcciones IP/dominios/URL maliciosos, entradas de registro, registros y tráfico de red. Analicemos el disco y sus metadatos:
Aquí podemos ver un breve resumen de la información de la unidad, que ofrece una comprensión parcial de su composición por archivo. A la izquierda se encuentra el menú completo con respecto al cual se analizó el disco. Se encontraron elementos clave y directorios sensibles mediante patrones mediante expresiones regulares.
Es importante entender que esta herramienta, aunque cuenta con varios módulos, se centra principalmente en el análisis y la taxonomía (es decir, la recopilación de datos de triaje), pero no en el análisis. Esto significa que el análisis de datos en esta herramienta deberá realizarse manualmente. En primer lugar, debemos encontrar un artefacto o atributo del ataque realizado.
Por ejemplo, revisemos los registros del intérprete de PS para ver qué acciones podrían haberse realizado en el ataque. Para ello, podemos revisar los archivos en la ruta. C:\Users\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadeadeady, presta atención a C: \Windows\System32\WDI, donde se almacenan los registros de seguimiento del proceso, o en el EventLog clásico C: \Windows\System32\winevt\RegistrosEn nuestro caso práctico, encontramos actividad sospechosa en forma de comandos ejecutados en el intérprete:
Ya existen muchas entidades/artefactos clave aquí, a partir de los cuales se pueden encontrar interconexiones con otros virus y actores de herramientas, revelando secuencialmente la cadena. Por ejemplo, podemos ver que DNS Los registros fueron falsificados y ahora, en lugar de un recurso en Internet, el usuario recurrirá a una máquina en la red local. Encontremos artefactos en forma de solicitudes de red y otras acciones con el recurso. Para ello, introduzcamos el dominio en la búsqueda de AutoPsy:
Vemos un conjunto de archivos donde ya se ha mencionado este dominio, incluyendo registros de seguimiento del proceso ETL, metadatos de archivos binarios e historial de búsqueda web. Según los datos extraídos del archivo, podemos concluir que el binario Sysinternals.exe se descargó de un sitio web falso, como descubrimos anteriormente. Para recopilar datos adicionales, podemos acceder a las categorías que nos permitirán enriquecer las entidades y artefactos existentes. En el elemento "Fuente" de la captura de pantalla anterior, sabemos que el intruso tuvo acceso a la carpeta de usuario IEUser. Pasemos a la lista de usuarios:
Ahora sabemos que la cuenta pertenece a un dominio y no a una cuenta de servicio. Podemos recopilar datos adicionales sobre su UID, por ejemplo, el software instalado:
Recuerda que la búsqueda detectó la herramienta SDelete instalada, que posiblemente se utilizaba para ocultar rastros de actividad. Se descargó de un recurso malicioso, posiblemente malware. Analicémoslo.
Vayamos al elemento de archivos eliminados, busquemos Sysinternals y restauremoslo seleccionando Restaurar en el menú contextual.
El archivo se marcó como sospechoso, por lo que es necesario investigar el comportamiento de esta entidad, es decir, buscar artefactos. Esta cadena de entidades interconectadas puede continuar durante mucho tiempo. Tras recopilar un conjunto de atributos e interconexiones entre ellas (artefactos), es necesario reconstruir la cadena de ataque.
Entre las funciones adicionales, puede utilizar la búsqueda de dominios cuyos registros quedaron en la máquina:
Puede generar análisis en una línea de tiempo para monitorear la actividad del sistema. Para ello, vaya a la opción Línea de tiempo en el menú superior:
Puedes configurar filtros por tipo de archivo, así como por intervalos de tiempo, y subir los resultados a CSV. Este framework es una excelente herramienta para buscar atributos/artefactos, ya que utiliza datos conocidos y no es adecuado para análisis automatizados. Sin embargo, es un excelente analizador y herramienta para recuperar archivos eliminados o dañados. Si no dispones de suficientes recursos, puedes realizar acciones. en potentes servidores en la nube. Serverspace Proporciona aislado VPS / VDS Servidores para uso común y virtualizado.
