Al analizar un sistema comprometido de Windows, los investigadores y los administradores de sistemas pueden obtener información muy útil acerca de los atacantes asi como las acciones que realizaron mirando a través del Registro de Windows, se puede definir como una base de datos jerárquica que almacena decenas de miles de ajustes de configuración en un moderno cuadro de Windows. El Registro de Windows contiene maravillosas joyas de la información para los investigadores. En este extremo, veremos qué información los investigadores pueden reunir alrededor de la actividad de los usuarios a través del Registro. El próximo mes, nos enfocaremos en cómo los investigadores pueden extraer información útil de registro asociadas con el sistema operativo.
Interactuando con el Registro
Si bien hay varias maneras para que los investigadores interactuen con el registro, dos de los más útiles son el built-in regedit GUI basado en la herramienta de registro y herramienta de línea de comandos. Regedit se ha incluido en Windows para más de una década, mientras que el registro comando sólo está incluido en el más moderno de máquinas Windows, por ejemplo, XP Pro, 2003 Server, Vista y 2008 Server. Para este artículo nos enfocaremos en el comando reg. Este comando permite a los usuarios ver, actualizar, importación y exportación de los valores clave del Registro. Sin embargo, nuestro enfoque es útil en la recuperación de las pruebas forenses, por lo que vamos a acercar el zoom sobre el uso del comando reg para consultar información importante desde el Registro.
El Registro de Windows está ordenado en forma de arbol que son grandes secciones del registro dedicado a aspectos particulares de la máquina. El HKCU almacena la información acerca del login del usuario. Supongamos que el malo de la investigacion es un usuario, tal vez un mal empleado que estaba sentado en la consola local de una máquina, o un atacante remoto que comprometío el sistema de control GUI remota a través de Remote Desktop, de Servicios de Terminal Server, o Virtual Network Computing (VNC). Tales atacantes pueden haber utilizado la GUI de Windows para iniciar programas o comandos en la máquina por ir a Inicio → Ejecutar ... y, a continuación, escribiendo el nombre de los programas a ejecutar. Windows registros de los últimos 26 comandos ejecutados de esta manera por el usuario actual en el Registro. Para extraer esta información, un investigador podría ejecutar:
C:\ reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\RunMRU
La salida del comando anterior puede mostrar que el atacante corrió sol.exe (el juego de solitario de Windows), seguido por un shell de comandos cmd.exe. El atacante puede entonces puesto en marcha la lusrmgr.msc GUI para añadir o eliminar usuarios , o el services.msc panel de control para modificar la configuración de servicio. He estado involucrado en los casos en que el atacante utiliza en Inicio → Ejecutar ... para montar recursos compartidos de archivos, escriba la sintaxis "net use * \ \ [máquina] \ [compartir] [contraseña] / u: [usuario]". La información contenida en esta clave del Registro fue instrumental en nuestra investigación para averiguar qué otros sistemas orientados al atacante.
Tenga en cuenta que la historia de la información en esta parte del registro puede ser muy útil a los investigadores si el atacante utiliza el control de la máquina GUI.
Otro Registro que es inmensamente útil a los investigadores es el valor RecentDocs (almacenada en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RecentDocs), que muestra los nombres de los últimos documentos abiertos por el usuario actualmente conectado en el sistema . Estos documentos están clasificados por tipo de extensión, como. Doc para Word o archivos. Ppt para archivos de PowerPoint. Lamentablemente, la rutas de acceso a archivos y documentos se almacenan los nombres en los valores binario, no en formato ASCII.
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\RecentDocs\.doc
Allí, el sistema mostrará los últimos diez. Doc archivos del usuario conectado actualmente. Haciendo doble clic sobre cualquiera de los valores allí, el investigador puede usar el regedit para visualizar las rutas del documento y los nombres en forma legible ASCII.
las actividades de navegacion de los usuarios quedan almacenados en el registro estándo asociados con Internet Explorer. En particular, el siguiente comando mostrará todas las URL que el usuario escribió en IE para navegar en los sitios web:
C:\> reg query "hkcu\software\microsoft\internet explorer\typ"
Tenga en cuenta la necesidad de poner comillas. Además.Con la salida de este comando, un investigador puede obtener información importante acerca de lo que hizo el usuario en la máquina , posiblemente el sistema de acceso a la pornografía u otros lugares nefastos. xD
Es importante tener en cuenta las limitaciones de los valores almacenados en virtud de esta parte del registro. El valor TypedURLs no mostrará la historia completa del navegador asi como el motor de búsqueda de las preguntas que haya realizado. Sin embargo, TypedURLs es muy útil para los investigadores que tratan de determinar la motivación de un sospechoso. Es una buena señal de que un usuario desee tener acceso a un sistema o un sitio determinado.
Otro terreno en el Registro que es útil para los investigadores está asociada con WinVNC viewer, una herramienta utilizada para controlar remotamente el GUI de otros sistemas. Cuando un usuario invoca el Visor VNC para conectarse a otro, WinVNC almacena en el sistema el nombre o dirección IP (número de puerto aun siendo un puerto distinto del puerto de VNC que por defecto es TCP 5900). Por lo tanto, los investigadores pueden tener una historia de las máquinas que un atacante pudo acceder a su control GUIs:
C:\> reg query hkcu\software\realvnc\vncviewer4\mru
Como hemos visto, el registro, en efecto, actúa como un registro por lotes de las medidas adoptadas por el usuario de una máquina.Estos breves consejos, cubren algunas de las zonas más útilesl para analizar, pero me gustaría animar a los lectores a realizar sus propias exploraciones del registro para encontrar artículos útiles a los investigadores. Pueden animarse a abrir regedit.exe y mirar a su alrededor dentro de HKCU \ Software, para la excavación y poder ayudar a desentrañar otro tipo de investigación forense.
by bad_robot
referencias SANS security.
Interactuando con el Registro
Si bien hay varias maneras para que los investigadores interactuen con el registro, dos de los más útiles son el built-in regedit GUI basado en la herramienta de registro y herramienta de línea de comandos. Regedit se ha incluido en Windows para más de una década, mientras que el registro comando sólo está incluido en el más moderno de máquinas Windows, por ejemplo, XP Pro, 2003 Server, Vista y 2008 Server. Para este artículo nos enfocaremos en el comando reg. Este comando permite a los usuarios ver, actualizar, importación y exportación de los valores clave del Registro. Sin embargo, nuestro enfoque es útil en la recuperación de las pruebas forenses, por lo que vamos a acercar el zoom sobre el uso del comando reg para consultar información importante desde el Registro.
El Registro de Windows está ordenado en forma de arbol que son grandes secciones del registro dedicado a aspectos particulares de la máquina. El HKCU almacena la información acerca del login del usuario. Supongamos que el malo de la investigacion es un usuario, tal vez un mal empleado que estaba sentado en la consola local de una máquina, o un atacante remoto que comprometío el sistema de control GUI remota a través de Remote Desktop, de Servicios de Terminal Server, o Virtual Network Computing (VNC). Tales atacantes pueden haber utilizado la GUI de Windows para iniciar programas o comandos en la máquina por ir a Inicio → Ejecutar ... y, a continuación, escribiendo el nombre de los programas a ejecutar. Windows registros de los últimos 26 comandos ejecutados de esta manera por el usuario actual en el Registro. Para extraer esta información, un investigador podría ejecutar:
C:\ reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\RunMRU
La salida del comando anterior puede mostrar que el atacante corrió sol.exe (el juego de solitario de Windows), seguido por un shell de comandos cmd.exe. El atacante puede entonces puesto en marcha la lusrmgr.msc GUI para añadir o eliminar usuarios , o el services.msc panel de control para modificar la configuración de servicio. He estado involucrado en los casos en que el atacante utiliza en Inicio → Ejecutar ... para montar recursos compartidos de archivos, escriba la sintaxis "net use * \ \ [máquina] \ [compartir] [contraseña] / u: [usuario]". La información contenida en esta clave del Registro fue instrumental en nuestra investigación para averiguar qué otros sistemas orientados al atacante.
Tenga en cuenta que la historia de la información en esta parte del registro puede ser muy útil a los investigadores si el atacante utiliza el control de la máquina GUI.
Otro Registro que es inmensamente útil a los investigadores es el valor RecentDocs (almacenada en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RecentDocs), que muestra los nombres de los últimos documentos abiertos por el usuario actualmente conectado en el sistema . Estos documentos están clasificados por tipo de extensión, como. Doc para Word o archivos. Ppt para archivos de PowerPoint. Lamentablemente, la rutas de acceso a archivos y documentos se almacenan los nombres en los valores binario, no en formato ASCII.
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\RecentDocs\.doc
Allí, el sistema mostrará los últimos diez. Doc archivos del usuario conectado actualmente. Haciendo doble clic sobre cualquiera de los valores allí, el investigador puede usar el regedit para visualizar las rutas del documento y los nombres en forma legible ASCII.
las actividades de navegacion de los usuarios quedan almacenados en el registro estándo asociados con Internet Explorer. En particular, el siguiente comando mostrará todas las URL que el usuario escribió en IE para navegar en los sitios web:
C:\> reg query "hkcu\software\microsoft\internet explorer\typ"
Tenga en cuenta la necesidad de poner comillas. Además.Con la salida de este comando, un investigador puede obtener información importante acerca de lo que hizo el usuario en la máquina , posiblemente el sistema de acceso a la pornografía u otros lugares nefastos. xD
Es importante tener en cuenta las limitaciones de los valores almacenados en virtud de esta parte del registro. El valor TypedURLs no mostrará la historia completa del navegador asi como el motor de búsqueda de las preguntas que haya realizado. Sin embargo, TypedURLs es muy útil para los investigadores que tratan de determinar la motivación de un sospechoso. Es una buena señal de que un usuario desee tener acceso a un sistema o un sitio determinado.
Otro terreno en el Registro que es útil para los investigadores está asociada con WinVNC viewer, una herramienta utilizada para controlar remotamente el GUI de otros sistemas. Cuando un usuario invoca el Visor VNC para conectarse a otro, WinVNC almacena en el sistema el nombre o dirección IP (número de puerto aun siendo un puerto distinto del puerto de VNC que por defecto es TCP 5900). Por lo tanto, los investigadores pueden tener una historia de las máquinas que un atacante pudo acceder a su control GUIs:
C:\> reg query hkcu\software\realvnc\vncviewer4\mru
Como hemos visto, el registro, en efecto, actúa como un registro por lotes de las medidas adoptadas por el usuario de una máquina.Estos breves consejos, cubren algunas de las zonas más útilesl para analizar, pero me gustaría animar a los lectores a realizar sus propias exploraciones del registro para encontrar artículos útiles a los investigadores. Pueden animarse a abrir regedit.exe y mirar a su alrededor dentro de HKCU \ Software, para la excavación y poder ayudar a desentrañar otro tipo de investigación forense.
by bad_robot
referencias SANS security.
No hay comentarios:
Publicar un comentario