Herramientas de informática forense: cómo encontrar la indicada para cada incidente
Como como perito forense o simplemente como un novato curioso, tocará investigar tecnologías con herramientas que no siempre se tienen a mano. Por eso, a lo largo de este post desarrollaremos un modo sencillo que servirá para obtener las herramientas adecuadas para cada suceso.
Si bien siempre está la opción de realizar una búsqueda en el navegador, es tanta la información disponible en Internet que el desafío muchas veces radica en saber filtrarla. Y en el caso de la búsqueda de las herramientas de informática forense correctas, no es la excepción.
Catálogo de herramientas de informática forense del NIST
A través del portal del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos, podremos encontrar una clasificación clara que permite realizar búsquedas de forma sencilla de las distintas herramientas forenses filtradas según funcionalidad.
Como podemos apreciar en la imagen. el catálogo nos ofrece la facilidad de buscar por parámetros técnicos basados en funciones forenses digitales específicas, como:
- Imágenes de disco
- Recuperación de archivos eliminados.
- Análisis de datos
- Base de datos
- Imágenes de disco
- Análisis de correo electrónico
- Análisis de hash
- Análisis de imágenes (archivos de video y gráficos)
- Mensajería instantánea
- Captura de memoria y análisis
- Dispositivos móviles
- VoIP
- WiFi, etc.
Este catálogo fue elaborado de forma conjunta entre varios organismos de los Estados Unidos, como por ejemplo, el Departamento de Seguridad Nacional, la Dirección de Ciencia y Tecnología, la División de Seguridad Cibernética y el Programa de Pruebas de Herramientas Forenses del Instituto Nacional de Estándares y Tecnología.
El portal está dividido en tres secciones: una función de búsqueda para encontrar herramientas, una página para que los proveedores ingresen información sobre sus herramientas y una descripción de las funciones y parámetros técnicos.
En el apartado superior podemos visualizar el resultado de la búsqueda de herramientas para el análisis forense de servicios en la nube, y en la imagen inferior, resultados ligados a la Registry de Microsoft Windows.
El proveedor de cada herramienta proporciona la información necesaria para su uso. En el portal se aclara que cualquier mención sobre un producto, sea comercial o no, es solo para información y no implica que un producto haya sido probado.
Por otro lado, este compendio de herramientas proporciona una imagen del panorama de la herramienta de análisis forense digital, mostrando dónde hay vacíos; es decir, funciones para las cuales no hay herramientas y quizás el análisis se vuelva más complejo o netamente manual.
#_https://asher-wyatt.blogspot.com/
#_https://www.welivesecurity.com/
- Copyright © 2021 A.S.I Asher wyatt -
Ataque Dos con Slowlori
Slowloris está diseñado para que una sola máquina (probablemente un Linux / UNIX desde que parece que Windows limita el número de sockets que puede tener abiertos en cualquier momento dado) puede atar fácilmente un servidor web típico o un servidor proxy al bloquear todos sus hilos mientras esperan pacientemente por más datos. Algunos servidores pueden tener una tolerancia más pequeña para los tiempos de espera que otros.
Slowloris puede compensar eso personalizando los tiempos de espera. Hay una Función agregada para ayudarlo a comenzar a encontrar el tamaño correcto, tiempos de espera también.
Slowloris es un tipo de ataque DDoS. Es claramente diferente de los demás en que esta herramienta no es un TCP DoS; más bien, utiliza el tráfico HTTP perfectamente legítimo. Realiza una conexión TCP completa y, a continuación, solo requiere unos pocos cientos de solicitudes a largo plazo y en intervalos regulares. Como resultado, la herramienta no necesita enviar mucho tráfico para agotar las conexiones disponibles en un servidor. Eventualmente, todas las conexiones se agotarán y ningún otro servidor podrá conectarse hasta que al menos algunas de las conexiones retenidas se liberen. Esto hace posible que los hackers con recursos de tráfico limitados puedan montar un ataque con éxito.
Como Instalarlo:
Requerimientos
sudo apt-get update
sudo apt-get install perl
sudo apt-get install libwww-mechanize-shell-perl
sudo apt-get install perl-mechanize
Ejecutarlo:
Descargar slowloris.pl Descargar
Abrir una terminal
./slowloris.pl
perl slowloris.pl -dns (Victim URL or IP) –options
Como usarlo:
ejemplo
perl ./slowloris.pl -dns - 192.168.1.2 - port 80
#AuditoriadeSeguridadInformaticabyAsherwyatt
Comandos del sistema que pueden destruir una computadora
Las computadoras y sistemas operativos actuales tienen medidas de seguridad integradas para evitar fallos catastróficos a nivel de hardware y software con la finalidad de evitar que sus componentes se inutilicen.
Sin embargo, existen situaciones donde de manera natural se puede llegar a originar un fallo que traiga consecuencias de errores en el sistema y en el peor de los casos que la computadora quede inservible.
Uno de los ejemplos más básicos es la famosa pantalla azul en Windows, la cual es originada por algún error en el sistema (o sus múltiples actualizaciones) forzando un reinicio o proceso de reparación automático.
Comandos que NUNCA debes ejecutar en tu computadora ya sea en Linux o Windows.
■*Fork Bomb*
Con ese comando se consume toda la memoria y los recursos de la computadora. De manera general el comando crea copias de sí mismo, replicándose continuamente y ocupando los procesos del CPU y memoria, llegando a un punto donde se congelará la computadora:
*:(){ :|: & };:*
■*rm -rf*
Este comando elimina toda la información posible existente, incluso es capaz de eliminar datos de dispositivos extraíbles conectados a la computadora como memorias USB o discos duros.
*sudo rm -rf /*
■Agujero negro
En algunas partes del sistema existen ubicaciones especiales donde son inaccesibles desde el exterior, dicho de otro modo, el mover archivos a esas ubicaciones es lo mismo que eliminarlos.
El siguiente comando de agujero negro mueve todos los archivos a una ubicación con estas características:
*mv ~ / dev / null*
■*Killing Strike*
El nombre de golpe asesino se le dio a un comando especial que al ejecutarse en computadoras PET Commodore antiguas provocaba errores a nivel de hardware resultando en la quema de uno o mas chips.
Aunque claro, tiempo después dicha vulnerabilidad fue parchada debido a la gran peligrosidad del error, siendo el único comando existente conocido que realmente podía dañar a nivel de hardware. El comando es:
*POKE 59458,62*
Es una extensión para Chrome, Firefox y Safari que elimina para siempre los avisos de cookies.
Los avisos de cookies son uno de los avances de Internet en los últimos años, pero también uno de los grandes impedimentos para una navegación rápida, directa y cómoda. Sobre todo en navegadores móviles, los mensajes constantes para aceptar o configurar qué cookies permitimos pueden llegar a ser tan o más intrusivos que la publicidad molesta.
Se trata de una extensión gratuita disponible para todos los grandes navegadores, Safari incluido, que nos ahorra muchos dolores de cabeza. La pena es que de momento no está disponible para móvil.
Comenzar a usar Ninja Cookie es tan fácil como instalar la extensión desde la Chrome Web Store o desde el repositorio de Firefox. En Safari, hay que recurrir a la App Store.
Desde el intercambio de caras hasta los filtros 3D, los efectos digitales son accesibles de una manera como nunca antes.
Deepfake generalmente se refiere a vídeos en los que la cara y / o la voz de una persona, generalmente una figura pública, ha sido manipulada utilizando software de inteligencia artificial de una manera que hace que el vídeo alterado se vea auténtico.
Las falsificaciones profundas se consideran una fuente de preocupación porque a menudo se las utiliza para inducir a error intencionalmente, como hacer que parezca que un político dijo algo que no dijo, o hacer que parezca que una celebridad estaba en un vídeo pornográfico en el que no estaba.
Tipos de Deepfakes:
Existen dos tipos principales de deepfakes, deepfaces y deepvoices. Vamos a analizar cada uno de ellos.
Deepface:
Consiste en crear fotos convincentes pero completamente ficticias desde cero. La animación de imagen tiene como objetivo generar secuencias de vídeo de modo que la persona en la imagen de origen esté animada de acuerdo con el movimiento de un vídeo. El objetivo es crear vídeos falsificados.
Deepvoice
Suplantación de la voz de una persona en un audio, haciendo que parezca su voz real.
Hasta hace poco, si le dijéramos esto, pensarían que estábamos locos. Pero con los medios sintéticos impulsados por la inteligencia artificial como los deepfakes en aumento, esto ya está comenzando a suceder.
Caso real en el que los cibercriminales usaron estas tecnologia:
El primer delito cibernético impulsado por IA del mundo que se informó a principios de septiembre de 2019. Utilizando la tecnología de síntesis de voz, los ladrones pudieron convencer a un ejecutivo de energía para que pensara que estaba hablando por teléfono con el CEO de su empresa matriz, engañándolo para que transfiriera más de 250,000 dólares a su cuenta.
Copyright © 2018 A.S.I Asher wyatt –
¿que es un login data chrome?
Extraer contraseñas y
nombres de usuario o logins que se han introducido utilizando el navegador
Google Chrome, hayan sido guardadas por ti o por cualquier otra persona que
haya utilizado el equipo. Pueden haber sido introducidas para ingresar a
cualquier sitio web o red social como Facebook, MySpace, Twitter, Tuenti, hi5,
Bebo u otras.
El navegador Google Chrome almacena las contraseñas al igual que los nombres de usuario en un archivo encriptado llamado Login Data situado en tu carpeta de usuario.
Si usas Windows 7 o Vista para acceder a tu carpeta de usuario escribe la siguiente dirección en el cuadro de Inicio o Ejecutar y oprime Enter:
%userprofile%\AppData\Local\Google\Chrome\User
Data\Default\
En Windows XP la ruta es la siguiente:
C:\Documents and Settings\%userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\
Para recuperar y extraer contraseñas y
nombres de usuario o logins guardados en Google Chrome también puedes utilizar
una pequeña aplicación gratis llamada ChromePass, la que no es necesario instalar en tu sistema, solo ejecutarla y
automáticamente escaneará tus archivos de datos de en busca de las contraseñas
almacenadas.
ChromePass es una pequeña herramienta de recuperación de contraseñas que te permite ver los nombres de usuario y contraseñas almacenadas en el navegador Web Google Chrome.
Puedes recuperar las contraseñas de todos los sitios web que has visitado, te has registrado y eres miembro, ambién si utilizas un cliente web para descargar tu correo electrónico como GMail, Yahoo Mail y Hotmail podrás extraer las contraseñas.
- Copyright © 2018 A.S.I Asher wyatt –
Hackers Keylogger APK
Los hackers Keylogger le permite utilizar un teclado especialmente diseñado que se asemeja al teclado normal en apariencia, lo que le permite rastrear cada entrada que se ha escrito a través del teclado.
La forma de usar esta aplicación consiste en engañar a la victima que inicie sesión en tu teléfono y teniendo esta activada obtendrás todos los datos especificados en la parte de arriba.
o simplemente cuando alguien te pida tu teléfono para comprobar su correo electrónico y activas esta app conseguirás todo lo que esta persona teclee dentro de ella.
Cómo utilizar esta aplicación: -
1. Activar "Teclado Hack" (Configuración-> Idioma y entrada-> Hack teclado)
2. Ajuste "Hack teclado" para teclado por defecto.
3. Ahora, Abierto "hackers Keylogger" App y en primera pantalla, haga clic en el botón para activar el modo de Hacking.
Eso es todo, su modo de Hacking está activado .. Y ahora lo que va a escribir a través del teclado se grabará en el fondo.
Link del apk:
https://drive.google.com/open?id=1WOX-LptbpkKeQ76giqUZl14Z7aAXthM8
- Copyright © 2018 A.S.I Asher wyatt –
EXTRACCIÓN DE DATOS FORENSES DEL DISPOSITIVO MÓVIL DE ANDROID
EXTRACCIÓN DE DATOS FÍSICOS DE LOS DISPOSITIVOS MÓVILES
Teniendo en cuenta el
hecho de que los investigadores también están interesados en los archivos
borrados que se encuentran en la memoria de los dispositivos móviles, los
expertos de informática forense tienen que hacer la extracción de datos físicos
de la memoria del dispositivo móvil. Eso significa que los expertos de análisis
forense tienen que obtener una copia completa del dispositivo examinado. Un
experto de análisis forense puede hacer un volcado de memoria física utilizando
los métodos siguientes:
1.- Extracción de los
datos directamente de los chips de memoria del dispositivo móvil utilizando el
método de Chip-off. Según empresa de pruebas de penetración, este método más
difícil de extracción de datos, pero a veces es la única manera de extraer los
datos desde el dispositivo.
2.- La extracción de datos
desde la memoria del dispositivo móvil utilizando la interfaz JTAG de
depuración. Este método permite extraer datos de los dispositivos que tengan
insignificantes daños en hardware y software.
3.- Extracción de los
datos de a través de programas especializados (por ejemplo,Oxygen Forensic
Suit) y complejos hardware-software (.XRY (Micro Systemation), UFED
(CellebriteForensics), Secure View 3.
4.- Creación de copia de
la memoria del dispositivo móvil manualmente.
Métodos combinados según
expertos de informática forense y pruebas de penetración.
EXTRACCIÓN DE
DATOS LÓGICOS
2.1. Ganando un acceso a
los datos que se encuentran en copia de una memoria del dispositivo móvil
No importa qué método los
expertos análisis forense utilicen para obtener la copia de memoria del
dispositivo móvil, al final un experto de análisis forense va a recibir un
archivo (o varios archivos), los cuales tienen que ser examinados de alguna
manera y lo que necesita es extraer los datos necesarios.
En este caso, la tarea del
experto de análisis forense es la extracción solamente de datos
lógicos que se encuentran en la copia de la memoria de un dispositivo móvil que
ejecuta el sistema operativo Android, se puede montar una imagen recibida en
FTK Imager o UFS Explorer. Según expertos de pruebas de penetración, copias de
memoria de los dispositivos móviles que ejecutan el sistema operativo Android
por lo general contienen un gran número de particiones lógicas. Los datos del
usuario de dispositivos móviles están en la partición lógica, que se nombra
USERDATA. De esta partición, puedes extraer datos tales como bases de datos,
vídeos, archivos gráficos, archivos de audio, etc.
LA
DESCODIFICACIÓN DE LA BASE DE DATOS SQLIT
Como regla general, bases
de datos SQLite extraídas de la memoria de copia del dispositivo móvil son de
sumo interés para los expertos de análisis forense. En primer lugar, está
conectado con el hecho de que la información criminalística valiosa se almacena
en este formato. Según expertos de pruebas de penetración, en bases de datos
SQLite se almacenan los datos siguientes: una agenda de teléfonos, llamadas,
mensajes SMS, mensajes MMS, diccionarios, los datos de los dispositivos móviles
de los navegadores web, registros de sistema del dispositivo móvil y etc.
Algunos investigadores
proponen utilizar dos programas para decodificar los archivos de bases de datos
SQLite: DCode v4.02a, SQLite Database Browser 2.0b1. En caso de que nosotros
usemos la combinación de estos programas, todavía hay un problema en la
recuperación y el análisis de los archivos borrados.
Una de las herramientas
que solucionan este problema Oxygen Forensic SQLite Viewer.
RECUPERACIÓN DE
DATOS Y ARCHIVOS BORRADOS
La recuperación de los
datos y los archivos borrados de los dispositivos móviles es un proceso
complicado. No es común, pero la mayor parte de los programas de análisis
forense no son compatibles con el sistema de archivos YAFFS2. Por eso el
experto de informática forense puede encontrarse a sí mismo en una
situación en que su programa no es capaz de recuperar algo de la descarga de
memoria del dispositivo móvil durante el examen de copia física de los
dispositivos móviles que ejecutan el sistema operativo Android. Como muestra
experiencia de análisis forense práctica, es difícil recuperar vídeos borrados
y archivos de gran tamaño de esas copias.
UFS Explorer, R-Studio
mostró los mejores resultados en la esfera de la recuperación de datos borrados
de dispositivos móviles que ejecutan el sistema operativo Android.
Para la recuperación de
datos borrados y los archivos de dispositivos móviles que ejecutan el sistema
operativo Android los cuales contienen archivos de YAFFS2, se recomienda
utilizar los siguientes programas: Encase Forensic version 7, The Sleuth Kit o
Belkasoft Evidence Center.
ANÁLISIS DE THUMBNAILS BASES
Al igual que en los
sistemas operativos Microsoft Windows, en el sistema operativo Android hay
archivos que son thumbnails bases y que contienen imágenes en miniatura de los
archivos gráficos y de vídeo, creados por el usuario (incluyendo archivos
borrados). En el sistema operativo Microsoft Windowss thumbnails bases tiene
nombres: Thumbs.DB o thumbcache_xxx.db (donde xxx es el tamaño de la imagen en
miniatura en la base). En el sistema operativo Android no hay un nombre
unificado de tales bases según expertos de pruebas de penetración . Además,
vale la pena señalar que estas bases se pueden encontrar como en el
almacenamiento interno al igual que en la tarjeta de memoria instalada en el
dispositivo móvil. Para buscar thumbnails bases nosotros utilizamos Thumbnail
Expert Forensic. Por regla general, este tipo de archivos permiten recibir información
criminalística valiosa, si las principales evidencias son archivos gráficos
(fotos) o videos que fueron tomados por el dispositivo móvil examinado.
Edit: Ashey Wyatt
Creditos: http://noticiasseguridad.com
- Copyright © 2018 A.S.I Asher wyatt –














