Utilización de la herramienta Autopsy Para análisis forense de dispositivos Lic. Gustavo Callejas Espinoza, Lic. Elio Rodo Terrazas Bustamante, Ing. Lourdes Isabel Chambi C hambi Machaca Postgrado en Informática Maestría en Informática Forense, Seguridad de la Información y Auditoría Informática
[email protected],
[email protected] [email protected],
[email protected],,
[email protected] [email protected] Resumen — En En la sociedad mundial existen casos en los que se presentan hechos ilícitos en los que están involucrados dispositivos de almacenamiento de información los cuales son incautados y estos deben ser analizados por peritos especialistas informáticos en análisis forense. Los mismos que para realizar dicho análisis utilizan diferentes herramientas para este análisis, como por ejemplo Autopsy, la cual es una herramienta muy avanzada que nos presenta una interfaz amigable que permite obtener análisis profundo de dispositivos, recuperando inclusive archivos ya borrados así como una descripción de actividades, correos, conexiones registradas, ver el metadatos de los archivos y sectores de asignación de memoria, asi como cabeceras de archivos entre otras. Palabras Clave — Análisis; Forense; metadatos; tecnología; dispositivo, herramienta
NTROD UCCIÓN I. I NTRODUCCIÓN La informática forense está adquiriendo una gran importancia impor tancia dentro del área de la información electrónica, esto debido al aumento del valor de la información y/o al uso que se le da a ésta, al desarrollo de nuevos espacios donde es usada, como ser el Internet, y al extenso uso de computadores computadores por parte de las compañías de negocios tradicionales, por ejemplo: los bancos.
Por tanto, cuando se realiza un crimen, muchas veces la información queda almacenada información al macenada en forma digital. Sin embargo, existe un gran problema, debido a que los computadores guardan la información de forma tal que no puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar me mecanismos canismos diferentes a los tradicionales. Entonces, para llevar a cabo un buen análisis de evidencias evidencias que nos permitan determinar los pasos realizados por el atacante, determinando las acciones previas realizadas y las siguientes durante el ataque, es importante contar con herramientas que nos permita realizar análisis sobre los diferentes medios, archivos, protocolos, servicios, y así poder encontrar posibles evidencias para lograr involucrar el atacante con el ataque realizado, en este caso viene a ser Autopsy. II. ¿QUÉ ES AUTOPSY? Es una plataforma forense digital utilizado por los encargados de hacer cumplir la ley, militares, y los examinadores corporativos para investigar lo que sucedió en una computadora. Incluso puede ser utilizarlo para recuperar fotos de la tarjeta de memoria memoria de su cámara. Desarrollado por Brian Carrier, se utiliza para el análisis forense informático, este permite a los investigadores realizar
auditorías forenses no intrusivas en los sistemas a investigar. in vestigar. El análisis a realizarse con la utilización de esta herramienta se centra en análisis genérico de sistemas de archivos y líneas temporaless de ficheros. temporale Autopsy permite realizar análisis a discos de Windows, Linux, UNIX y sistemas de archivos en diferentes formatos como ser NTFS, FAT, UFS1 / 2, Ext2 / 3. III. VERSIONES Se inició con la versión versión 0.1b el 19 de febrero de 2001, donde salió comercialmente el 19 de octubre de 2008 con la versión 2.20, esa vez su desarrollo estaba basado en la arquitectura cliente-servidor, se ejecutaba a través de un navegador web, específicamente Mozilla Firefox y solo funciona en los sistemas basado en UNIX UNIX como ser Linux Linux y OS X En la versión 3 fue reescrito completamente de la versión 2 para ser un programa autosuficiente que no necesita ser ejecutado a través de Firefox y tiene la apariencia de un programa forense tradicional y agregaron la compatibilidad con Windows. Autopsy 3 incluye una nueva función llamada módulos de ingestión que analizan datos, listan la información en formato de árbol y permiten búsquedas basadas en: palabras clave, hashes y actividad reciente. Actualmente Actualme nte la última versión es 4.4.0 que fue lanzado el 30 de mayo de 2017. IV.
CARACTERÍSTICAS
A. Fácil de usar
Autopsyesfue diseñado para ser leintuitiva la caja. La instalación fácil y los asistentes guían a de través de cada paso. Todos los resultados resultados se encuentran encuentran en un solo árbol. árbol. B. Extensib Extensible le
Autopsy fue diseñado para ser una plataforma de extremo a extremo con módulos que vienen con él fuera de la caja y otros que están disponibles de terceros. Algunos de los módulos proporcionan: ●
Análisis de línea de tiempo: interfaz gráfica de
visualización visualizac ión de eventos e ventos avanzada
●
Hash Filtering - Marcar archivos mal conocidos e
ignorar los buenos conocidos.
●
Búsqueda de palabras clave: búsqueda indexada de
palabras clave para encontrar archivos que mencionen términos relevantes.
●
Artefactos Web: extrae historial, marcadores y cookies
de Firefox, Chrome e IE.
●
Data Carving - Recuperar archivos borrados de espacio
no asignado usando PhotoRec
●
Multimedia - Extraiga EXIF de imágenes y vea videos.
●
Indicadores
de Compromiso computadora usando STIX
-
Escanear
una
C. Rápido
Autopsy ejecuta las tareas deresultados fondo en tan paralelo múltiples núcleos y proporciona prontoutilizando como se encuentran. Puede tardar horas en buscar completamente la unidad, pero sabrá en minutos si las palabras clave se encontraron en la carpeta principal del usuario.. D. Económ Económico ico
Autopsy es gratuito, ofrece las mismas características básicas que otras otras herramientas forenses forenses digitales y ofrece otras otras características esenciales, como análisis de artefactos web y análisis de registros, que otras herramientas comerciales no proporcionan. V
MÓDULOS DE CONFIGURACIÓN DE ANÁLISIS.
Figura Figu ra 2: Extracto de Actividades Actividades Recientes Recientes. B.
Hash Lo Lookup okup
Usa los hashes de las bases de datos que se indiquen cuando se pulsa el botón advance, en donde se pueden añadir diferentes bases de datos que contengan ficheros reconocidos por el estándar de la NSRL de archivos de sistema. Para que se ignoren los mismos se lo dejara unckeck. C. File Type Identification Identificat ion
A Identifica los diferentes tipos de ficheros, también se tiene la opción para ignorar los ficheros que sean reconocidos por el instituto nacional de estándares y tecnología. Presionando el botón advance advance es posible agregar nuevos tipos rellenando todas las características y presionando la tecla “New”. y luego el botón “Save”.
Figura Figu ra 1: Inte Interfaz rfaz de configu configuración ración de m módulos ódulos d dee aná análisis. lisis.
D. Archive extractor
Se nos presentara con una interfaz gráfica (figura 1) con la cual seleccionaremos y configuraremos los módulos a incluir,
Descomprime archivos comprimidos para análisis de su contenido.
algunosser deconfiguradas. estos módulos tienen opciones avanzadas que pueden configuradas.
Este módulo es un analizador sintáctico y extraede EXIF EXIF (imagen intercambiable File Format) información imágenes ingeridas. Esta información puede contener datos de geo localización de la imagen, hora, fecha, modelo de la cámara y otros ajustes (valores de exposición, resolución, etc) y otra información. informac ión. Los atributos descubiertos se añaden a la grilla de características.
Es en esta parte del proceso de análisis en la que decidiremos qué tipos de archivos analizar la selección o deselccion de alguno de estos módulos se aplica a todos los tipos de archivos analizados, directorios y también al espacio no asignado con que cuente la imagen o el dispositivo analizado. A. Recent ActivityActivity-
E. Exif Parser Parser
Extrae la actividad del usuario guardado por los navegadores web y también por el sistema operativo hasta 7 días antes, detecta conexiones, sitios web que se visitó, y donde ademáss se conectó el equipo, un resumen de los resultados que ademá pueden obtenerse al aplicar este módulo módulo se puede apreciar apreciar en en la
Extrae la información exif (exchageable image file format) de algunas imágenes extrayendo sus metadatos. F. Keyword Search
figura 2.
Consiste en un listado de palabras estas son regulares, generadas mediante cadenas de datos literales clave, o expresiones
estas pueden ser por ejemplo números de teléfono, correos electrónicos, direcciones url, y otras más. En esta versión de Autopsy se cuenta con un pequeño listado predefinido (listado con el que no se cuenta en versiones anteriores) para seleccionar algunos grupos ya creados tan solo seleccionando la casilla correspondiente, pero si el usuario lo desea podrá ingresar presionando la tecla tecla “advanced” a un panel para generar grupos personalizados de palabras palabras clave que se rastrearán de la imagen imagen en cuestión.
I.
G. Email Parser
J.
Androi Android d Analyze Analyzerr
K.
Interesting Files Identifier
Extrae la información de los buzones de los clientes de correo electrónico conocidos, Thunderbird identifica los archivos MBOX y archivos de formato PST para extraer los correos electrónicos que se pueden identificar y analizar la información de ellos. Esto permitirá identificar las comunicaciones comunica ciones que hubieron hubi eron basadas en correo co rreo electrónico. H. Extension Mismatch D Detector etector
Es un módulo que permite identificar extensiones de ficheros que no corresponden realmente con el nombre del fichero. Ejemplo: si se tiene una imagen y se cambia su extensión y `por tanto no será posible abrirla o visualizarla de forma normal, este módulo permitirá a través de la comparación de los metadatos del fichero con la extensión real que tiene el nombre del fichero y así determinar si se trata de un fichero en el cual ocurre esto o se modificó su extensión para evadir la atención sobre ese fichero. En la figura 3 se puede observar un listado de archivos MIMME identificados por Autopsy siendo que es posible añadir más tipos por parte del examinador.
E01 verifier verifier
Valida la integridad de los ficheros de formato E01 los cuales son ficheros de imágenes de CD o unidades USB por ejemplo, que por el propio sistema de compresión han sido divididos en distintos ficheros, se podría usar esta opción si se sabe que dentro de la unidad de disco analizada existían otras imágenes que pueden ser susceptibles de ser también también analizadas y de esta forma habilitar el análisis del contenido de estas.
Habilita un módulo para analizar por ejemplo base de datos sqlite y otros ficheros de pertenecientes o manejados por el sistema android.
Es un módulo que permite listar y definir una serie de reglas para buscar ficheros ficheros de interés en el el análisis los cuales cumplan con dichas reglas. En la configuración del mismo previo al análisis el software permite visualizar las reglas existentes y seleccionar las que se utilicen en el análisis además además al presionar el botón “advanced” se nos mostrará un panel en el cual el perito
podrá definir sus reglas para filtrar en una búsqueda especial esta información. L.
Pho Photo to Rec Carv Carver er
Es un módulo de análisis de espacio no asignado de la imagen este módulo se encarga de buscar ficheros borrados de la tabla FAT pero que sin embargo los datos siguen ahí porque no han sido sobrescritos por otro fichero y por lo tanto es posible su recuperación. recuperación. ●
V. TÉCNICAS DE BÚSQUEDA DE EVIDENCIA Listado de archivos: Analizar los archivos y directorios, di rectorios, incluyendo los nombres de los archivos borrados y los archivos archiv os con nombres no mbres basados en Unicode.
●
Contenido del archivo: El contenido de los archivos
pueden ser vistos en hexadecimal, raw, o los caracteres ASCII; losseque se puedepara extraer. Cuando los datos, desinfecta evitar daños se eninterpretan el sistema de análisis local. El software no se utiliza ningún tipo de lenguajess de script del lado del cliente. lenguaje
Figura 3: T Tipos ipos d dee Arch Archivos ivos re reconocidos conocidos en u un n análisis análisis de autopsy.. autopsy
●
Bases
●
Clasificación de tipos de archivo: archivo: Clasificar los archivos archivos
de datos Hash: Búsqueda de archivos desconocidos en una base de datos de hash para identificar rápidamente como bueno o malo. Autopsy utiliza el NIST Biblioteca Nacional de Referencia de Software (NSRL) y bases de datos creadas por el usuario de los archivos más conocidos.
basándose en sus firmas firmas internas para identificar los archivos archiv os de un tipo conocido. La autopsia puede también extraer solamente imágenes gráficas (incluyendo miniaturas). minia turas). La extensión del d el archivo también se puede comparar con el tipo de archivo para identificar los
archivos archiv os que pueden haber tenido su extensión cambiada para ocultarlos. ocultarlos. ●
●
●
●
Buscar palabra clave: búsquedas de palabras clave de la imagen del sistema de archivos se puede realizar utilizando cadenas de caracteres ASCII y expresiones regulares grep. Las búsquedas se pueden realizar en cualquiera de la imagen completa del sistema de archivos o simplemente el espacio no asignado. Un archivo de índice pueden ser creadas para agilizar las búsquedas. Las cadenas que son buscados de ma manera nera frecuente se puede configurar fácilmente para la búsqueda automatizada. automatizada.
Análisis de metadatos: Los metadatos estructuras
contienen los detalles sobre los archivos y directorios. La autopsia le permite ver los detalles de cualquier estructura de metadatos en el sistema de archivos. Esto es útil para recuperar el contenido eliminado. La autopsia buscará los directorios para identificar la ruta completa del archivo que ha asignado a la estructura. Análisis de datos de unidades: la unidad de datos es donde el contenido del archivo se almacena. al macena. La autopsia le permite ver el contenido de cualquier unidad de datos en una variedad de formatos, incluyendo ASCII, hexdump, y cuerdas. El tipo de archivo también se da y la autopsia buscará los metadatos para identificar las estructuras que ha asignado la unidad de datos.
●
●
●
●
Secuenciador de eventos: Los eventos basados en el
tiempo pueden ser AÑADIDOS desde un archivo de actividad o registros de un IDS (Sistema Detector de Intrusos) o Firewall (cortafuegos), los cuales Autopsy los ordena por eventos de tal ma manera nera que la secuencia de los eventos de incidentes pueda ser más fácilmente determinada.
Reportes: Autopsy puede crear reportes de archivos
ASCII y otras estructuras del sistema de archivos. Esto permite que se hagan hojas de datos rápidas y consistentes durante la investigación. investigación.
●
Registros: Los registros de auditoría se crean sobre un
caso, host o investigador, de esta manera se pueden recordar las acciones facilmente. El comando exacto que se ejecutad de The Sleuth Kit es también t ambién registrado. registrado.
●
Diseño Abierto: El código de Autopsy es Código
abierto
(Open
Source
)
y
todos
los
archivos que son utilizados están en un formato en bruto. Todos los archivos de configuración están en texto ASCII y se organizan los casos en directorios. Esto facilita el exportación los datos y su archivado. Esta no restringe la posibilidad de utilizar otras herramientas herramientas para pa ra resolver apropiadamente problemass específicos. problema ●
Modelo Cliente Servidor: Autopsy está basado en
HTML, y por ello no se tiene que estar en el mismo sistema donde residen las imagenes del sistema de archivos. Esto permite que varios investigadores investigadores utilicen el mismo mismo servidor y puedan conectarse desde sus sistemas personales.
sistema de archivos, incluyendo el diseño en el disco y el tiempo de actividad. Este modo proporciona información informac ión que es útil durante la recuperación de datos.
MODOS DE A NALISIS Manejo de Caso: Autopsy permite manejar las investigacioness organizadas en casos, los cuales pueden investigacione contener uno o más hosts,donde cada host es configurado para tener su propia zona horaria de modo que los tiempos mostrados serán iguales a los vistos por el usuario original,como original,como también puede contener uno o más imágenes de sistema de archivos para el análisis a realizarse.
Integridad de la imagen: Es crucial asegurarse que no
se modifican los archivos durante el análisis. Autopsy, por defecto, genera un valor MD5 para todos los archivos archiv os que son importados o creados. La integridad de cualquier archivo utilizado por Autopsy puede ser verificado verif icado en cualquier momento.
Detalles de la imagen: Pueden ser vistos los detalles del
VI.
Notas: Las anotaciones pueden ser guardadas sobre la
base de un investigador investigador o un host. Esto permite realizar notas rápidas sobre archivos y estructuras. La localización original puede ser recordarse fácilmente con el click de un botón cuando las notas son posteriormente posteriorme nte revisadas. Todas las notas son almacenadas en un archivo ASCII
Cronología de la actividad del archivo: En algunos
casos, tener una línea de tiempo de actividad de los archivos puede ayudar a identificar las áreas de un sistema de archivos que pueden contener pruebas. La autopsia puede crear líneas de tiempo que contiene entradas para la modificación, acceso, y el cambio (MAC).
●
●
●
Análisis de muerte: se produce cuando un sistema de
análisis específicos se utilizadonde para examinar los datos de un sistema sospechoso, la autopsia y las herramientas Sleuth se ejecutan en un entorno de confianza, por lo general en un laboratorio. Autopsy y TSK apoyo básico testigo, perito, y los formatos de archivo AFF ●
Análisis en directo: se produce cuando el sistema
sospechoso está siendo analizada, mientras que se está ejecutando. En este caso, Autopsy y las herramientas Sleuth se ejecuta desde un CD en un entorno de confianza. Se utiliza con frecuencia durante la respuesta a incidentes, mientras que el incidente está siendo confirmado. Después de que se confirme, el sistema puede ser adquirido adquirido y realizado realizado un análisis de muerte. muerte.
VII. CONCLUSIONES Al presentarse presentarse un crimen, cri men, la información que es almacenada en forma digital y/o óptica llega a formar parte de una evidencia por lo cual se debe utilizar herramientas herramientas que permitan realizar realizar análisis sobre los diferentes medios, archivos, protocolos y servicios, servic ios, para encontrar evidencia que vincule al atacante con el ataque realizado. Autopsy permite realizar este análisis dado que el manejo del caso presenta un diseño que facilita a los investigadores utilizar la herramienta, poder conseguir la evidencia que requiera,, con la ayuda requiera a yuda de una interfaz gráfica y así desempeñar
sus labores adecuadamente adecuadamente sumado a los conocimientos previos que se necesitan poseer para explotar todas las características inherentes a esta herramienta. EFERENCIAS R EFERENCIAS [1] J. Lowery, Autopsy 3.0 [online]. 2012 Disponible en http://comp4n6.blogspot.com/2012/07/v-behaviorurldefaultvmlo.html [2] B. Carrier , [online]. 2017 Disponible en Autopsy http://www.sleuthkit.org/autopsy/ Autopsy [3] EcuRed , [online]. https://www.ecured.cu/Autopsy
2017
Disponible
en
