Técnicas Antiforenses

wow

Técnicas Antiforenses

Técnicas Antiforenses

Son utilizadas por los ciberdelincuentes para complicar o prevenir una investigación forense adecuada. Anti-forense, también conocido como contraforense, es un conjunto de técnicas que los atacantes o perpetradores utilizan para evitar o desviar el proceso de investigación forense o tratar de hacerlo mucho más difícil. Estas técnicas afectan negativamente la cantidad y calidad de la evidencia de una escena del crimen, lo que dificulta el proceso de investigación forense.

Objetivos

• Interrumpir y evitar la recopilación de información.

• Dificultar la tarea del investigador de encontrar evidencia.

• Ocultar rastros de delitos o actividades ilegales.

• Comprometer la precisión de un informe forense o testimonio.

• Eliminar evidencia de que se ha ejecutado una herramienta antiforense

Tipos de Técnicas Antiforenses

Eliminación de Datos/Archivos

Cuando se elimina un archivo del disco duro, el sistema operativo elimina el puntero al archivo y los sectores que contienen los datos eliminados se marcan como disponibles, lo que significa que el contenido de los datos eliminados permanece en el disco duro hasta que se sobrescriben con nuevos datos. Los investigadores forenses utilizan herramientas de recuperación de datos como Autopsy, Recover My Files, EaseUS Data Recovery Wizard Pro, R-Studio, etc., para escanear el disco duro y analizar el sistema de archivos para una recuperación de datos exitosa.

¿Qué pasa cuando un archivo es borrado?

Cuando un usuario elimina un archivo, el sistema operativo no elimina realmente el archivo, sino que marca la entrada del archivo como no asignada en la tabla maestra de archivos (MFT) y asigna un carácter especial. Este carácter denota que el espacio ya está listo para su uso. En el sistema de archivos FAT, el sistema operativo reemplaza la primera letra de un nombre de archivo eliminado con un código de bytes hexadecimal, E5h. E5h es una etiqueta especial que indica un archivo eliminado. El sistema de archivos FAT marca los clústeres correspondientes de ese archivo como no utilizados, aunque no están vacíos.

¿Qué pasa cuando un archivo es borrado?

En el sistema de archivos NTFS, cuando un usuario elimina un archivo, el sistema operativo simplemente marca la entrada del archivo como no asignada, pero no elimina el contenido real del archivo. Los clusters asignados al archivo eliminado se marcan como libres en el $BitMap ($BitMap archivo es un registro de todos los clústeres utilizados y no utilizados). La computadora ahora nota esos clústeres vacíos y aprovecha ese espacio para almacenar un nuevo archivo. El archivo eliminado se puede recuperar si el espacio no se asigna a ningún otro archivo.

Papelera de Reciclaje

Almacena temporalmente los archivos eliminados. Cuando un usuario elimina un elemento, se envía a la papelera de reciclaje. Sin embargo, no almacena elementos eliminados de medios extraíbles, como una unidad USB o una unidad de red. Los elementos presentes en la Papelera de reciclaje siguen consumiendo espacio en el disco duro y son fáciles de restaurar. Los usuarios pueden usar la opción de restauración en la Papelera de reciclaje para recuperar archivos eliminados y enviarlos de vuelta a su ubicación original.

Archivos Eliminados Windows

Windows cambia el nombre de los archivos eliminados con el siguiente formato: $R<#>.<extensión original>, donde <#> representa un conjunto de letras y números aleatorios. Al mismo tiempo, se crea un archivo de metadatos correspondiente que se denomina como: $I<#>.<extensión original>, donde <#> representa un conjunto de letras y números aleatorios iguales a los utilizados para $R. Los archivos $R y $I se encuentran en C:\$Recycle.Bin\<USER SID>\

Archivos $I

El archivo $I contiene los siguientes metadatos:

• Nombre de archivo original
• Tamaño de archivo original
• La fecha y hora en que se eliminó el archivo

Los archivos originales pertenecientes a los archivos $I no son visibles en la carpeta Papelera de reciclaje cuando,

• El archivo $I es corrupto o esta dañado.

• El atacante/intruso elimina los archivos $I de la Papelera de reciclaje.

File Carving

Se refiere a una técnica que se utiliza para recuperar archivos borrados / perdidos y fragmentos de archivos del disco duro cuando faltan metadatos del sistema de archivos. Al permitir que los investigadores forenses recuperen archivos que se han eliminado / perdido de un disco duro, esta técnica ayuda a extraer artefactos valiosos relacionados con un caso de delito cibernético para su posterior examen. Un intruso también puede intentar eliminar una partición completa del disco duro y luego combinar el espacio no asignado de la partición eliminada con la partición primaria del sistema para evitar que un investigador identifique la partición perdida.

File Carving

Ejemplo, un sospechoso puede intentar ocultar una imagen de la detección por parte de los investigadores cambiando la extensión del archivo de .jpg a .dll. Sin embargo, cambiar la extensión del archivo no cambia el encabezado del archivo, que puede revelar el formato de archivo real. Un formato de archivo se confirma como .jpg si muestra "JFIF" en el encabezado del archivo y la firma hexadecimal como "4A 46 49 46".

File Carving

Los investigadores pueden analizar los encabezados de archivo para verificar el formato de archivo utilizando herramientas como 010 Editor, CI Hex Viewer, Hexinator, Hex Editor Neo, Qiew, WinHex, etc. Los archivos eliminados se pueden recuperar del disco duro hasta que los sectores que contienen el contenido del archivo se sobrescriban con nuevos datos. Esto permite que herramientas forenses como Autopsy, Recall My Files, EaseUS Data Recovery Wizard Pro y R-Studio para Windows, recuperen dichos archivos / carpetas eliminados del disco duro. En los SSD, la recuperación de archivos eliminados se vuelve difícil ya que TRIM está habilitado de forma predeterminada.

File Carving Windows

Algunas herramientas de recuperación de archivos basadas en Windows:

• Recover My Files (https://getdata.com)
• DiskDigger (https://diskdigger.org)
• Handy Recovery (https://www.handyrecovery.com)
• Quick Recovery (https://www.recoveryourdata.com)
• Stellar Phoenix Windows Data Recovery (https://www.stellarinfo.com)

File Carving Linux

En Linux, los usuarios pueden eliminar archivos usando el comando /bin/rm/, en el que el inodo que apunta al archivo se elimina pero el archivo permanece en el disco. Por lo tanto, el investigador forense puede utilizar herramientas de terceros como Stellar Phoenix Linux Data Recovery, R-Studio for Linux, TestDisk, PhotoRec, Kernel for Linux Data Recovery, etc., para recuperar datos eliminados del disco.

Recuperación de Particiones Eliminadas

Cuando un usuario elimina una partición del disco, los datos asignados a la partición se pierden y la partición eliminada se convierte en espacio no asignado en el disco. La tabla de particiones MBR almacena los registros de las particiones primarias y extendidas disponibles en el disco. Por lo tanto, cada vez que se elimina una partición del disco, las entradas pertenecientes a las particiones se eliminan de la tabla de particiones MBR. Un atacante/intruso con una intención maliciosa puede eliminar una partición y fusionarla con la partición primaria.

Recuperación de Particiones Eliminadas

Si el investigador no puede encontrar la partición eliminada en Administración de discos, el investigador utiliza herramientas de terceros como R-Studio y EaseUS Data Recovery Wizard para escanear el disco duro y descubrir y recuperar la partición eliminada y su contenido. Estas herramientas automatizadas realizan un escaneo completo del disco, buscan información de partición eliminada y reconstruyen la entrada de la tabla de particiones para la partición eliminada.

Recuperación de Particiones Eliminadas

La herramienta EaseUS Data Recovery Wizard recupera datos de las particiones del sistema de archivos basadas en FAT y NTFS.

Recuperación de Particiones Eliminadas

Recuperación de Particiones Eliminadas

Protección con Contraseña

La protección con contraseña protege la información, protege redes, aplicaciones, archivos, documentos, etc. de usuarios no autorizados. Muchas organizaciones e individuos, que no quieren que otros accedan a sus datos, recursos y otros productos, emplean contraseñas y algoritmos criptográficos fuertes como medidas de seguridad. Los atacantes e intrusos utilizan estas técnicas de protección para ocultar datos de evidencia, evitar la ingeniería inversa de aplicaciones, dificultar la extracción de información de los dispositivos de red y evitar el acceso al sistema y al disco duro.

Protección con Contraseña

El cifrado es una técnica preferida para disuadir el análisis forense. En tales casos, los investigadores pueden usar herramientas de descifrado de contraseñas como ophcrack y RainbowCrack para eludir la protección de contraseña. Los dispositivos informáticos pueden almacenar y transmitir contraseñas como texto sin cifrar, ofuscadas y contraseñas hash, de las cuales solo las contraseñas hash necesitan descifrarse, mientras que los otros tipos de contraseñas pueden ayudar en la fase de craqueo.

Técnicas para descifrar contraseñas

Ataques de diccionario. Se carga un archivo de diccionario en la aplicación de craqueo que se ejecuta en las cuentas de usuario. Un diccionario es un archivo de texto que contiene varias palabras del diccionario o combinaciones de caracteres predeterminadas. El programa utiliza cada palabra presente en el diccionario para encontrar la contraseña.

Técnicas para descifrar contraseñas

Ataques de fuerza bruta. Es esencialmente un ataque criptoanalítico utilizado para descifrar cualquier dato cifrado (que puede denominarse cifrado). En otras palabras, implica probar todas las claves posibles en un intento de recuperar el texto plano, que es la base para producir un texto cifrado en particular. Los ataques de fuerza bruta necesitan más potencia de procesamiento en comparación con otros ataques.

Técnicas para descifrar contraseñas

Algunas herramientas de descifrado de contraseñas:

• L0phtCrack (https://www.l0phtcrack.com).

• ophcrack (https://ophcrack.sourceforge.io).

• Caín y Abel (https://www.oxid.it).

• RainbowCrack (https://project-rainbowcrack.com).

• Editor de registro y contraseña NT sin conexión (https://pogostick.net).

Esteganografía

La esteganografía se refiere al arte de ocultar datos "detrás" de otros datos , ocultando así la existencia del mensaje en sí. Reemplaza bits de datos no utilizados en archivos habituales como gráficos, sonido, texto, audio, video, etc. con algunos otros bits subrepticios. Los datos ocultos pueden ser texto sin formato o texto cifrado, o puede ser una imagen. Utilizar una imagen gráfica como portada es el método más popular para ocultar datos en archivos. La esteganografía es preferida por los atacantes porque, a diferencia del cifrado, no es fácil de detectar.

Esteganografía

En casi cualquier objeto digital se puede ocultar un mensaje secreto, ya sea en un documento de texto, en una clave de licencia o, incluso, en la extensión de un archivo. La información secreta se puede escribir en los metadatos del archivo o directamente en el contenido principal. Por ejemplo, imagínate una imagen. Desde el punto de vista de la computadora, se trata de la recopilación de cientos de miles de píxeles. Cada píxel tiene una “descripción” que informa sobre su color. En cuanto al formato RGB, que se utiliza en la mayoría de las imágenes de color, esta descripción ocupa 24 bits de memoria. Si solo de 1 a 3 bits de la descripción de algunos o, incluso, de todos los píxeles contienen información secreta, los cambios de la imagen en general son imperceptibles. Dado el gran número de píxeles en imágenes, se pueden escribir muchos datos en ellos.

Esteganografía

La imagen de la izquierda no contiene mensajes ocultos; la de la derecha contiene los 10 primeros capítulos de una novela.

Esteganografía

En la mayoría de los casos, la información se oculta en los píxeles y se extrae mediante herramientas especiales. Para ello, los estenógrafos actuales a veces escriben scripts personalizados o añaden la funcionalidad que necesitan los programas destinados a otros fines. Y, ocasionalmente, utilizan código preparado, muy abundante online. La ocultación de marcas de agua es otro buen ejemplo de esteganografía. No obstante, lo primero que pensamos cuando hablamos de mensajes secretos, ya sea en forma digital o física, es en correspondencia secreta y espionaje.

El medio más sutil: los memes

Un spyware recibe órdenes mediante imágenes. El malware se comunica con sus los cibercriminales con la fuente más sutil: los memes publicados en Twitter. Una vez en el ordenador de la víctima, el malware abre el tuit y extrae las instrucciones de la imagen. Entre las órdenes se encuentra:

• Tomar una captura de pantalla del escritorio.
• Recopilar información sobre los procesos en ejecución.
• Copiar los datos del portapapeles.
• Escribir los nombres de los archivos de carpetas específicas.

Código en imágenes

Los archivos multimedia no solo ocultan texto, sino también partes de código malicioso, por lo que otros cibercriminales comenzaron a seguir la estela de los espías. El uso de la esteganografía no convierte una imagen, video o canción en malware, pero se sí que se puede utilizar para ocultar una carga dañina de los análisis de los antivirus.

Esteganografía - Recomendaciones

Puedes mantener a salvo tu dispositivo protegiéndolo de los componentes de malware que ocultan texto o código malicioso en archivos multimedia:

• No te precipites a la hora de abrir enlaces o archivos adjuntos en correos electrónicos. Primero, lee cuidadosamente el mensaje. Si la dirección del remitente o cualquier otro contenido resulta sospechoso, es mejor que lo ignores.

• Si tienes que descargar un archivo, utiliza siempre fuentes de confianza; por ejemplo, descarga las aplicaciones de las tiendas oficiales o de los sitios web de los desarrolladores. Lo mismo sucede con las películas y la música; no descargues nada de fuentes desconocidas.

• Utiliza una solución de seguridad de confianza ya que, aunque no reconozca el código en imagen, puede interceptar las acciones sospechosas de otros módulos de malware.

Esteganografía - Herramientas de Detección

OpenStego https://www.openstego.com Proporciona dos funcionalidades principales: 1. Ocultación de datos: puede ocultar cualquier dato dentro de un archivo de portada (por ejemplo, imágenes). 2. Marca de agua: Archivos de marca de agua (por ejemplo, imágenes) con una firma invisible. Se puede utilizar para detectar copias de archivos no autorizadas. Permite a los investigadores extraer datos ocultos para su análisis.

Esteganografía - Herramientas de Detección

Esteganografía - Herramientas de Detección

StegSpy http://www.spy-hunter.com Detecta la esteganografía y el programa utilizado para ocultar el mensaje. También identifica la ubicación del contenido oculto. StegSpy actualmente identifica los siguientes programas: 1. Hiderman 2. JPHideandSeek 3. Masker 4. JPegX 5. Invisible Secrets

Alternate Data Stream

ADS, o un flujo de datos alternativo, es una característica del sistema de archivos NTFS que ayuda a los usuarios a encontrar un archivo utilizando información de metadatos alternativa, como el título del autor. Permite que los archivos tengan más de un flujo de datos, que son invisibles para el Explorador de Windows y requieren herramientas especiales para verlos. Por lo tanto, ADS facilita a los perpetradores ocultar datos dentro de archivos y acceder a ellos cuando sea necesario.

Alternate Data Stream

Los atacantes también pueden almacenar archivos ejecutables en ADS y ejecutarlos utilizando la utilidad de línea de comandos. ADS permite al atacante ocultar cualquier número de flujos en un solo archivo sin modificar el tamaño del archivo, la funcionalidad, etc., excepto la fecha del archivo. Sin embargo, la fecha del archivo se puede modificar utilizando herramientas antiforenses como TimeStomp. En algunos casos, estos ADS ocultos se pueden utilizar para explotar de forma remota un servidor web.

Trail Obfuscation

El propósito de la ofuscación de rastros es confundir y engañar el proceso de investigación forense. Los atacantes engañan a los investigadores a través de la manipulación de registros, la generación de encabezados de correo electrónico falsos, la modificación de marcas de tiempo y la modificación de varios encabezados de archivo. La ofuscación del contenido del tráfico se puede lograr mediante VPN y túneles SSH. En este proceso, los atacantes eliminan o modifican los metadatos de algunos archivos importantes para confundir a los investigadores. Modifican la información del encabezado y las extensiones de archivo utilizando varias herramientas.

Trail Obfuscation

Los atacantes pueden hacer esto mediante el uso de varias herramientas y técnicas como las que se enumeran a continuación:

• Log cleaners
• Zombie accounts
• Spoofing
• Trojan commands
• Misinformation

Timestomp, que forma parte de Metasploit Framework, es una herramienta de ofuscación de rastros que los atacantes utilizan para modificar, editar y eliminar los metadatos de fecha y hora en un archivo y hacerlo inútil para los investigadores. Transmogrify es otro ejemplo de tal herramienta.

Artifact Wiping

La limpieza de artefactos se refiere al proceso de eliminar o destruir los archivos de evidencia de forma permanente utilizando utilidades de limpieza de archivos, de discos y técnicas de destrucción de discos. El atacante elimina permanentemente determinados archivos o el propio sistema de archivos.

Artifact Wiping

Utilidades de limpieza de disco. Implica borrar datos del disco eliminando sus enlaces a bloques de memoria y sobrescribiendo el contenido de la memoria. En este proceso, la aplicación sobrescribe el contenido de MBR, tabla de particiones y otros sectores del disco duro con caracteres como el carácter nulo o cualquier carácter aleatorio varias veces (utilizando estándares de borrado de datos). Algunas de las utilidades de limpieza de disco más utilizadas incluyen BCWipe Total WipeOut, CyberScrub cyberCide, DriveScrubber, ShredIt, etc.

Artifact Wiping

Técnicas de desmagnetización y destrucción de discos. La desmagnetización de disco es un proceso mediante el cual se aplica un fuerte campo magnético al dispositivo de almacenamiento, lo que resulta en un dispositivo completamente limpio de cualquier dato previamente almacenado. La destrucción física del dispositivo es una de las técnicas más utilizadas para garantizar la eliminación de datos. NIST recomienda una variedad de métodos para lograr la destrucción física de los medios digitales, que incluye la desintegración, incineración, pulverización, trituración y fusión.

Artifact Wiping

El formateo de un disco duro. No borra los datos presentes en el disco, sino que borra sus tablas de direcciones y desvincula todos los archivos del sistema de archivos. Más tarde, se configura un nuevo árbol de archivos para usarlo con el sistema operativo. Después de formatear un disco duro, el investigador forense puede recuperar datos de una unidad formateada. Nota: Es difícil recuperar datos que se han eliminado utilizando estas técnicas. Por lo tanto, se recomienda que las organizaciones realicen una copia de seguridad de los datos de forma regular.

Sobrescribir Datos o Metadatos

Los programas de sobrescribir funcionan en tres modos:

• Sobrescribir medios completos
• Sobrescribir archivos individuales
• Sobrescribir archivos eliminados en el medio

Sobrescribir Datos o Metadatos

Sobrescribir metadatos. Los investigadores usan metadatos para crear una línea de tiempo de las acciones del perpetrador organizando todas las marcas de tiempo de la computadora en una secuencia. Aunque los atacantes pueden usar herramientas para borrar el contenido de los medios, esa acción en sí misma podría llamar la atención de los investigadores. Por lo tanto, los atacantes cubren sus huellas sobrescribiendo los metadatos (es decir, los tiempos de acceso), lo que dificulta la construcción de la línea de tiempo.

Sobrescribir Datos o Metadatos

Otra forma de confundir al investigador es accediendo a la computadora de tal manera que no se generen metadatos. Ejemplos: montar una partición como de solo lectura o acceder a ella a través del dispositivo sin formato impide que se actualicen los metadatos del archivo. Al establecer la clave del Registro de Windows "HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate" en 1, se deshabilita la actualización de la marca de tiempo del último acceso.

Encriptación

El cifrado es una forma efectiva de proteger los datos que implica el proceso de traducir los datos en un código secreto al que solo el personal autorizado puede acceder. Los intrusos utilizan algoritmos de cifrado fuertes para cifrar datos de valor de investigación, lo que los hace prácticamente ilegibles sin la clave designada. Algunos algoritmos son capaces de evitar los procesos de investigación mediante la realización de funciones adicionales, incluido el uso de un archivo clave, cifrado de volumen completo y negación plausible.

Encriptación

A continuación se enumeran las utilidades de cifrado integradas proporcionadas por Microsoft para Windows 7 y versiones posteriores: BitLocker: cifra un volumen completo. Sistema de cifrado de archivos (EFS): cifra archivos y directorios individuales. El criptoanálisis se puede utilizar para descifrar datos cifrados. Ejemplo: CrypTool. VeraCrypt es una de las herramientas más utilizadas en el cifrado antiforense.

Contramedidas Antiforenses

Los investigadores pueden superar las técnicas antiforenses discutidas anteriormente a través de un mejor monitoreo de los dispositivos y el uso de CFT actualizados. Algunas de las contramedidas importantes contra las técnicas antiforenses se enumeran a continuación:

• Capacitar y educar a los investigadores forenses sobre antiforenses.

• Validar los resultados del examen utilizando múltiples herramientas.

• Imponer leyes estrictas contra el uso ilegal de herramientas antiforenses.

• Comprender las técnicas antiforenses y sus debilidades.

• Utilice los CFT más recientes y actualizados y pruébelos en busca de vulnerabilidades.

• Guarde datos en ubicaciones seguras.

Contramedidas Antiforenses - Herramientas

• Steganography Studio (http://stegstudio.sourceforge.net)
• CryptaPix (https://www.briggsoft.com)
• GiliSoft File Lock Pro (http://gilisoft.com)
• wbStego (https://wbstego.wbailer.com)
• Data Stash (https://www.skyjuicesoftware.com)
• OmniHide PRO (https://omnihide.com)
• Masker (http://softpuls.weebly.com)
• DeepSound (http://jpinsoft.net)
• DBAN (https://dban.org)
• east-tec InvisibleSecrets (https://www.east-tec.com)