Videncia forense: predicción del pasado empleando la bola de la línea temporal

Tiempo de lectura estimado: 11 minutos

Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es aprender a interpretar correctamente una línea temporal dentro de una investigación forense.

Importancia de las líneas temporales en DFIR

• Ordenar temporalmente artefactos forenses del sistema de ficheros, memoria RAM y generados por el sistema operativo:
• Creación/modificación/eliminación de archivos, lanzamiento de programas, relación padre-hijo de procesos, creación de sockets, medidas antiforenses, etc.
• Facilita el seguimiento de actividades del atacante.
• Permite predecir líneas de acción del adversario.
• Permiten contestar el Qué (What) y el Cuándo (When) de las 5WH.
• Requiere DFIR experimentado para identificar e inferir el significado de los artefactos forenses.
  
  

Dificultades para generar líneas temporales

• Las medidas antiforenses dificultan la generación de líneas temporales.
• Es complicado eliminar todos los artefactos generados.
• Algunas medidas antiforenses generan nuevos artefactos
• "Ruido" de otros artefactos generados por el sistema u otros usuarios.
• DFIR deberá filtrar los artefactos relevantes para la investigación.
  
  

Creación y análisis de líneas temporales

• Primer paso: recopilar artefactos forenses de los dispositivos
• Segundo paso: a partir del contexto, generar una hipótesis de investigación. (Ej. Ejecución de archivos maliciosos, creación de archivos en el sistema)
• Tercer paso: establecer un punto de partida/punto de pivote a partir del contexto.
• Cuarto paso: analizar artefactos dentro de una ventana temporal para validar la hipótesis.
• Agrupar artefactos disponibles relacionados con una acción.
• Ampliar/reducir tamaño de la ventana temporal.

Creación y análisis de líneas temporales

• Creación de líneas temporales automatizadas.
• Aplicable a escenarios en los que se carece de contexto.
• Proceso lento.
• Excesivo ruido.
  
  
• Creación de líneas temporales específicas cuando se dispone de contexto.
• DFIR experimentado.
• Adecuado para escenarios IR.
  
  
• Filtrado de artefactos conforme a la hipótesis de investigación.
• Descarga de archivos, ejecución de programas, eliminación de archivos, etc.
• Ventanas temporales delimitadas alrededor del punto de pivote.
  
  

 Predicción en el análisis de líneas temporales

• Lectura de informes técnicos relativos a ataques conocidos:
• Comprender el orden cronológico de generación de artefactos
• Mejora en la generación de hipótesis
• Ampliar el espectro de escenarios sobre los que no tiene experiencia el DFIR
• Habilidad esencial del DFIT: predicción
• Utilizar las alertas reportadas por el SOC como punto de pivote
• Deducir eventos anteriores y posteriores al utilizado como pivote
• Facilita el análisis de la línea temporal mediante la generación de hipótesis
• Facilita seleccionar la hipótesis más probable
• La validación de hipótesis mediante artefactos,  permite pasar de la percepción teórica a la demostración analítica. 
• Dirección de ataques en diferentes niveles de abstracción:
• Niveles elevados: describe el ciclo de vida del ataque a partir de sus tácticas (Ej.  fase de reconocimiento, fase de explotación).
• Niveles menos elevados: describen las técnicas y procedimientos empleados (Ej. Ejecución de PsExec en el sistema origen - Ejecución de binario en el sistema destino).
• Buenas prácticas: referenciar los ataques a MITRE ATT&CK o LM CKC.
• Validar hipótesis: suele resultar más sencillo demostrar falsos positivos que demostrar la cadena completa de ejecución de un ataque.
  
  

Herramientas para elaborar líneas temporales

• Basadas en metadatos del sistema de ficheros
• fls y mactime (The Sleuth Kit): fIs procesa la imagen "en crudo" y genera un listado de todos los archivos. mactime utiliza la salida de fIs para generar una línea temporal en TXT.
• Mac-robber: útil para recoger timestamps en escenarios "en vivo" y procesarlos con mactime.
• MFTECmd para procesar la MFT de un sistema de ficheros NTFS.
• Basadas en metadatos de un volcado de memoria
• Autotimeliner (plugins timeliner, mftparser y shellbags de Volatility) y ordena su salida con mactime.
• Super Timeline: Junta artefactos del sistema de ficheros y del sistema operativo Windows. Emplea Plaso, que a su vez emplea  log2timeline.
• Timesketch: Permite integración con Sigma (análisis de archivos de eventos de Windows). Permite la documentación de la investigación empleando stories.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Mario Guerra Soto

Mario es ingeniero de Telecomunicación por la Universidad de Cantabria. Durante siete años trabajó en el Mando Conjunto de Ciberdefensa como DFIR, threat hunter, analista de ciberinteligencia y analista de malware. Es máster en Seguridad de Tecnologías de Información y Comunicación por la UOC y máster en Análisis de Evidencias Digitales y Lucha contra el Cibercrimen por la UAM. Ha colaborado como ponente en diferentes congresos y eventos como RootedCON, Cybercamp, IntelCon, Hackron y TACS, además, colabora como docente en la UAM y en la USAL.