Análisis de triaje forense con KAPE Kroll Artifact Parser and Extactor

Tiempo de lectura estimado: 8 minutos

Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar de manera práctica un análisis de triaje forense con KAPE (Kroll Artifact Parser and Extactor).

Introducción a la herramienta

KAPE es el acrónimo de Kroll Artifact Parser and Extractor. Se trata de una herramienta de triaje altamente configurable que permite una adquisición rápida y automatizada de diversos artefactos forenses en un equipo. Fue creada por Eric Zimmerman y puede obtenerse y utilizarse de forma gratuita para uso personal o interno. La herramienta permite seleccionar una serie de objetivos o targets que representan artefactos a recoger, los cuales serán extraídos de la máquina.

Posteriormente, la herramienta permite la ejecución de módulos para realizar un análisis inicial de dichos elementos extraídos. Tanto los objetivos como los módulos son configurables y ampliables, pudiendo personalizar el uso de KAPE según los procedimientos habituales y necesidades de cada organización. Presenta una interfaz de objetivos (targets), otra de módulos y otra de comandos. Al ejecutarlo se despliega una CMD. 

Funcionamiento

Se selecciona el origen de datos para los targets. Puede tomar como tal un disco conectado al sistema o cualquier imagen de disco montada en el mismo. Se selecciona también el directorio en el cual se guardarán los artefactos extraídos.

Se elige un conjunto de targets en la lista proporcionada por el programa. Puede seleccionarse un número ilimitado de éstos. Algunos engloban un conjunto de targets, facilitando la estandarización.

Se elige, opcionalmente, un conjunto de módulos en la lista proporcionada por el programa. Puede seleccionarse también un número ilimitado de éstos. De forma predeterminada, actuarán sobre los datos extraídos por los targets.

Se selecciona finalmente el directorio destino donde se guardarán los resultados de los módulos. Al hacer click en Execute! se abrirá una consola donde podrá verse el progreso de la extracción.

Adquisición de artefactos forenses

KAPE cuenta actualmente con un gran número de targets. Éstos permiten realizar una extracción de ficheros, elementos del sistema o estructuras de datos del objetivo. En caso de que el artefacto esté bloqueado por el sistema operativo, se encolará y al final de la ejecución se copiarán estos elementos bloqueados leyendo directamente de disco.

Los targets permiten incluir a otros, de forma que puede seleccionarse de forma rápida un conjunto de elementos habituales. Proporcionan una alta adaptabilidad a las necesidades específicas del caso o procedimientos establecidos por el equipo de respuesta a incidentes (runbooks).

Análisis y extracción de datos

KAPE cuenta también con un gran número de módulos. Éstos permiten tomar los artefactos extraídos por los targets y realizar un análisis de los mismos, o bien realizar acciones de recolección de datos adicionales sobre el objetivo. Pueden ejecutarse en otro equipo de análisis tras realizar una operación de extracción rápida, o bien justo tras la extracción de artefactos. Pueden requerir de ejecutables adicionales para realizar el análisis en caso de los módulos que utilizan herramientas externas.

Personalización y adaptación a un procedimiento

La estandarización y el establecimiento de procedimientos es una práctica extendida y esencial a la hora de responder ante un incidente. KAPE ofrece la capacidad de adaptación y personalización necesaria para su uso en estos procedimientos. La anidación de targets permite extraer de forma rápida una serie de artefactos que resulten de utilidad para cada proceso de forma estandarizada.

La ejecución en forma de comandos permite la ejecución de targets y módulos de forma rápida por parte del equipo de primera respuesta. La extracción de indicadores de compromiso concretos se facilita enormemente con la creación de uno o varios targets. Pueden integrarse como módulos las herramientas de terceros que la organización considere necesarias.

El NIST establece los siguientes pasos a seguir en un plan de respuesta a incidentes:

• Preparación.
• Detección y análisis.
• Contención, erradicación y recuperación.
• Actividad post-incidente (lecciones aprendidas).

Las mismas 6 subfases son descritas por SANS en su Incident Handler's Handbook.

El uso de una herramienta de recolección automática como KAPE puede ayudar en el seguimiento de estas fases. La preparación del entorno implica la creación de targets y procedimientos de su uso. La detección y análisis lleva a la ejecución de la herramienta para extraer y analizar las pruebas necesarias. Potencialmente, acciones de contención, erradicación y recuperación rápidas pueden ser integradas como módulo. Los datos extraídos pueden derivar en el guardado de IOCs y proporcionar una mejora continua del proceso.

En la masterclass en vídeo se muestran ejemplos de la utilización de las herramientas.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Guillermo Román Ferrero

Cyber Risk Senior Associate en Kroll. Es cofundador y colaborador del blog Follow the White Rabbit.