SlideShare une entreprise Scribd logo

#CONPilar18: Piénsatelo dos veces antes de meterla

Télécharger en tant que PPTX, PDF
Marcos Fuentes
Marcos Fuentes

Presentación expuesta en el Congreso de Seguridad Informática CONPilar, en su edición 2018, (#CONPilar18).

Présentations et discours publics
1  sur  79
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Piénsatelo dos veces antes de meterla
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 About me…
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabemos…? ¿Sabemos qué ocurre cuando conectamos un dispositivo USB? ¿Sabemos cómo interactúa nuestra información con él? ¿Sabemos qué rastro dejamos atrás, sin ser conscientes de ello? Pruebas efectuadas bajo Windows 7 y bajo Windows 10 Análisis realizado con pequeñas utilidades, sin instalar nada Bajo varios supuestos: Dispositivo USB conectado Dispositivo USB conectado y explorado Dispositivo USB conectado y reparado Dispositivo USB conectado y un fichero abierto
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Herramientas utilizadas Máquinas virtuales de Microsoft https://developer.Microsoft/en-us/Microsoft-edge/tolos/vms FTK Imager https://accessdata.com/product-download/ftk-imager-lite-versión-3.1.1 Strings https://docs.microsoft.com/en-us/sysinternals/downloads/strings Registry Explorer https://ericzimmerman.github.io/ ParseRacWMI https://phx4n6.wordpress.com/2014/01/10/ LECmd https://ericzimmerman.github.io/ LogFileParser https://github.com/jschicht/LogFileParser Thumbcache Viewer https://thumbcacheviewer.github.io/ BrowsingHistoryView https://www.nirsoft.net/utils/browsing_history_view.html PECmd https://ericzimmerman.github.io/ Eventvwr, (Visor de eventos)
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabías que…?
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabías que…?
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y expulsado en W’7
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registro de Windows: • El Registro de Windows es una base de datos, jerárquica y centralizada, que contiene información y configuraciones del sistema y del usuario para equipos con Windows. Estas configuraciones pueden ser desde el fondo del escritorio del usuario hasta la configuración de la zona horaria para el Sistema (El corazón de Windows) WindowsSystem32configSOFTWARE WindowsSystem32configSYSTEM
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSOFTWARE
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSYSTEM
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registro de Windows: • El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos WindowsSystem32configSOFTWARE.LOG1 WindowsSystem32configSYSTEM.LOG1
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSOFTWARE.LOG1
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSYSTEM.LOG1
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registros SetupAPI: • Cuando un dispositivo USB se conecta por primera vez a un sistema Windows, el administrador de PnP consulta el dispositivo para determinar la información sobre el dispositivo, para descubrir qué controladores cargar para ese dispositivo • El administrador Plug and Play (PnP) y el SetupAPI registran información sobre eventos de instalación Windowsinfsetupapi.dev.log Windowsinfsetupapi.ev3
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Windowsinfsetupapi.dev.log
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Windowsinfsetupapi.ev3
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registros de eventos: • Archivo que contiene información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica WindowsSystem32winevtLogsMicrosoft-Windows- DriverFrameworks-UserMode%4Operational.evtx WindowsSystem32winevtLogsSystem.evtx
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows- DriverFrameworks-UserMode%4Operational.evtx
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsSystem.evtx
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Eventos de rastreo, (Event Trace Log): • Seguimiento de eventos para aplicaciones • Registradores automáticos asociados al visualizador de eventos • Controladores que inician y detienen. Los controladores son aplicaciones • Registro de seguimiento de eventos, (.etl), almacena los mensajes de rastreo generados durante las sesiones WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog- System.etl
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog- System.etl
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Proveedor de contexto WDI: • Windows Diagnostic Infrastructure, (WDI) • Registradores automáticos que están se inician automáticamente • Se escribe una selección de eventos en las sesiones • Copias de seguridad de sesiones anteriores de Windows WindowsSystem32wdiLogFilesWdiContextLog.etl.002
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesWdiContextLog.etl.002
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Boot Circular Kernel Context Logger: • Fichero de rastreo de inicio • Se crea cada vez que un perfil inicia sesión por primera vez • Parte de la Infraestructura de diagnóstico de Windows, (WDI) WindowsSystem32wdiLogFilesBootCKCL.etl
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesBootCKCL.etl
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y abierto en W’7
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y ‘reparado’ en W’7
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Repositorio CIM: • Tipos de datos y objetos de datos. • Este archivo parece ser un repositorio CIM, asociado con WMI • Se almacenan las definiciones de recursos gestionados • Se almacena información de configuración y gestión de diferentes recursos. WindowsSystem32wbemReporitoryOBJECTS.DATA
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wbemReporitoryOBJECTS.DATA
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivo de paginación: • Técnica de administración de memoria que funciona como un almacenamiento secundario para la memoria de Windows • Almacena marcas de memoria • Usado cuando lo demanda la memoria física • Fichero de sistema y oculto • Nunca puede ser leído ni accedido por un usuario pagefile.sys
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? pagefile.sys
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Monitor de confiabilidad de Windows: • Herramienta de diagnóstico que registra los cambios existentes en un Sistema • Instalación de software, (cualquier acción sobre ellos) • Instalación de controladores • Información muy complicada de eliminar ProgramDataMicrosoftRACStateDataRacWmiEventData.dat ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? ProgramDataMicrosoftRACStateDataRacWmiEventData.dat
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y expulsado en W’10
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows- Partition%4Diagnostic.evtx
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows-Kernel- PnP%4Configuration.evtx
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32WDI{86432ª0b-3c7d-4ddf-a89c- 172faa90485d}{96e711c2-fc05-434d-a4c8- 5483b41587bf}snapshot.etl
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y abierto en W’10
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y ‘reparado’ en W’10
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’7
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’7
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserNTUSER.DAT
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserntuser.dat.LOG1
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Accesos directos: • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivos de registro: • Archivo de registro principal del sistema de ficheros NTFS • Contiene registros de todas las transacciones, (acciones), para garantizar la integridad de los datos • Contiene metadatos y atributos que describen un fichero o directorio $LogFile
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Vistas en miniatura: • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados UsersIEUserAppDataLocalMicrosftWindowsExplorerthumbca che*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthum bcache*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivos de registro de navegación: • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …) UsersIEUserAppDataWindowsWebCacheV01.log UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataWindowsWebCacheV01.log
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesBootCKCL.etl
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’10
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? “Listas de salto”, (JumpList): • Colección de archivos LNK almacenados por las aplicaciones • Barra de tareas de acceso rápido a los archivos de una aplicación • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK UsersIEUserAppDataRoamingMicrosoftWindowsRecentAuto maticDestinations5f7b5f1e01b83767.automaticDestinations-ms
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecentA utomaticDestinations5f7b5f1e01b83767.automaticDestination s-ms
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Prefetch: • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthu mbcache*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthu mbcache*
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y expulsado 95 coincidencias ASCII Unicode 105 coincidencias Hexadecimal 11 coincidencias en espacio libre del disco duro
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y abierto 95 coincidencias ASCII Unicode 106 coincidencias Hexadecimal 10 coincidencias en espacio libre del disco duro
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y reparado 171 coincidencias ASCII Unicode 140 coincidencias Hexadecimal 16 coincidencias en espacio libre del disco duro
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y fichero abierto 84 coincidencias ASCII Unicode 97 coincidencias Hexadecimal 29 coincidencias ASCII Unicode 27 coincidencias Hexadecimal
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y expulsado 96 coincidencias ASCII Unicode 64 coincidencias Hexadecimal 33 coincidencias en espacio libre del disco duro
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y abierto 96 coincidencias ASCII Unicode 64 coincidencias Hexadecimal 33 coincidencias en espacio libre del disco duro
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y reparado 109 coincidencias ASCII Unicode 59 coincidencias Hexadecimal 28 coincidencias en espacio libre del disco duro
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y fichero abierto 86 coincidencias ASCII Unicode 51 coincidencias Hexadecimal 35 coincidencias ASCII Unicode 32 coincidencias Hexadecimal
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Conclusiones • Conectar un dispositivo USB, a nivel de evidencias, equivale a conectarlo y explorarlo • La información que dejamos atrás se puede extraer incluso de dispositivos USB conectados, que se encuentran cifrados • No existen, a día de hoy, herramientas anti-forenses capaces de eliminar todo este rastro de dispositivos externos. • ¿A nuevas versiones de Windows, más artefactos para jugar? • Piénsatelo dos veces antes de conectar un dispositivo USB • Cuenta hasta 10 antes de abrir un fichero en un dispositivo USB
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¡¡Muchas gracias por su atención!!
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Lo hizo un mago
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 was brought to you by:
@CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 was brought to you by: ¡¡Muchas gracias!!

Recommandé

#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opciónMarcos Fuentes
 
#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS PícaroMarcos Fuentes
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaChema Alonso
 
Motores de busqueda
Motores de busquedaMotores de busqueda
Motores de busquedaAlondra Cordero
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMFrancisco Javier Barrena
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
COMPUTACIÓN HOY
COMPUTACIÓN HOYCOMPUTACIÓN HOY
COMPUTACIÓN HOYAlberto Rojas Olivares
 

Recommandé

#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opción#CONPilar17: Ser curioso NO es una opción
#CONPilar17: Ser curioso NO es una opciónMarcos Fuentes
 
#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS Pícaro#UPV2017: Inconsciente VS Pícaro
#UPV2017: Inconsciente VS PícaroMarcos Fuentes
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaChema Alonso
 
Motores de busqueda
Motores de busquedaMotores de busqueda
Motores de busquedaAlondra Cordero
 
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoTotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcido
TotoConf2020 - Técnicas OSINT que te dejarán con el PAPO torcidoFrancisco Javier Barrena
 
Machine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMMachine Learning ¿A TODO GAS? con GraalVM
Machine Learning ¿A TODO GAS? con GraalVMFrancisco Javier Barrena
 
Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físico Open source intelligence y la unión de los mundos virtual y físico
Open source intelligence y la unión de los mundos virtual y físicoZink Security
 
COMPUTACIÓN HOY
COMPUTACIÓN HOYCOMPUTACIÓN HOY
COMPUTACIÓN HOYAlberto Rojas Olivares
 
Computer hoy nº 438 17 julio (2015)
Computer hoy nº 438 17 julio (2015)Computer hoy nº 438 17 julio (2015)
Computer hoy nº 438 17 julio (2015)Franmo100
 
Computacion 1 sesion 01 windows 7
Computacion 1 sesion 01 windows 7Computacion 1 sesion 01 windows 7
Computacion 1 sesion 01 windows 7Giomar Lázaro
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 
www.yonocreoenloshumanos.blogspot.com
www.yonocreoenloshumanos.blogspot.comwww.yonocreoenloshumanos.blogspot.com
www.yonocreoenloshumanos.blogspot.comLeticia Linares García
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Gustavo Ibañez
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra HackersCristián Rojas, MSc., CSSLP
 
Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024eCommerce Institute
 
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024eCommerce Institute
 
Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024eCommerce Institute
 
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024eCommerce Institute
 
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024eCommerce Institute
 
Presupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxPresupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxhugogabrielac1
 
Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024eCommerce Institute
 
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfAct#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfXimenaGonzlez95
 
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...eCommerce Institute
 
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...angierangel29072017
 
Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024eCommerce Institute
 
Guiaparacrearslideshareticsvirtual2024abril
Guiaparacrearslideshareticsvirtual2024abrilGuiaparacrearslideshareticsvirtual2024abril
Guiaparacrearslideshareticsvirtual2024abriljulianagomezm2
 
Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024eCommerce Institute
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfTamanaTablada
 
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024eCommerce Institute
 

Contenu connexe

Similaire à #CONPilar18: Piénsatelo dos veces antes de meterla

Computer hoy nº 438 17 julio (2015)
Computer hoy nº 438 17 julio (2015)Computer hoy nº 438 17 julio (2015)
Computer hoy nº 438 17 julio (2015)Franmo100
 
Computacion 1 sesion 01 windows 7
Computacion 1 sesion 01 windows 7Computacion 1 sesion 01 windows 7
Computacion 1 sesion 01 windows 7Giomar Lázaro
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Gustavo Ibañez
 

Similaire à #CONPilar18: Piénsatelo dos veces antes de meterla (6)

Computer hoy nº 438 17 julio (2015)
Computer hoy nº 438 17 julio (2015)Computer hoy nº 438 17 julio (2015)
Computer hoy nº 438 17 julio (2015)
 
Computacion 1 sesion 01 windows 7
Computacion 1 sesion 01 windows 7Computacion 1 sesion 01 windows 7
Computacion 1 sesion 01 windows 7
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 
www.yonocreoenloshumanos.blogspot.com
www.yonocreoenloshumanos.blogspot.comwww.yonocreoenloshumanos.blogspot.com
www.yonocreoenloshumanos.blogspot.com
 
Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.Seguridad de la Información para Periodistas.
Seguridad de la Información para Periodistas.
 
Defensa contra Hackers
Defensa contra HackersDefensa contra Hackers
Defensa contra Hackers
 

Dernier

Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024eCommerce Institute
 
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024eCommerce Institute
 
Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024eCommerce Institute
 
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024eCommerce Institute
 
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024eCommerce Institute
 
Presupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxPresupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxhugogabrielac1
 
Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024eCommerce Institute
 
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfAct#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfXimenaGonzlez95
 
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...eCommerce Institute
 
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...angierangel29072017
 
Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024eCommerce Institute
 
Guiaparacrearslideshareticsvirtual2024abril
Guiaparacrearslideshareticsvirtual2024abrilGuiaparacrearslideshareticsvirtual2024abril
Guiaparacrearslideshareticsvirtual2024abriljulianagomezm2
 
Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024eCommerce Institute
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfTamanaTablada
 
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024eCommerce Institute
 

Dernier (15)

Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024Felipe González - eCommerce Day Chile 2024
Felipe González - eCommerce Day Chile 2024
 
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
José Ignacio Calle, Nathalie Jacobs - eCommerce Day Chile 2024
 
Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024Suiwen He - eCommerce Day Chile 2024
Suiwen He - eCommerce Day Chile 2024
 
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
Mercedes Tomas, Florencia Bianchini - eCommerce Day Chile 2024
 
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
Francisco Irarrazaval, Marcos Pueyrredon - eCommerce Day Chile 2024
 
Presupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptxPresupuesto por Resultados de Seguridad Ciudadana .pptx
Presupuesto por Resultados de Seguridad Ciudadana .pptx
 
Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024Sebastián Iturriaga - eCommerce Day Chile 2024
Sebastián Iturriaga - eCommerce Day Chile 2024
 
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdfAct#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
Act#3.2_Investigación_Bibliográfica_Comunicación_Equipo.pdf
 
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
Nicolás von Graevenitz, Rodrigo Guajardo, Fabián Müller, Alberto Banano Pardo...
 
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
 
Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024Pablo Scasso - eCommerce Day Chile 2024
Pablo Scasso - eCommerce Day Chile 2024
 
Guiaparacrearslideshareticsvirtual2024abril
Guiaparacrearslideshareticsvirtual2024abrilGuiaparacrearslideshareticsvirtual2024abril
Guiaparacrearslideshareticsvirtual2024abril
 
Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024Enrique Amarista Graterol - eCommerce Day Chile 2024
Enrique Amarista Graterol - eCommerce Day Chile 2024
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdf
 
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
Alexander Rubilar, Enzo Tapia - eCommerce Day Chile 2024
 

#CONPilar18: Piénsatelo dos veces antes de meterla

  • 1. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Piénsatelo dos veces antes de meterla
  • 2. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18
  • 3. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 About me…
  • 4. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 About me… Marcos Fuentes Martínez @_N4rr34n6_ | N4rr34n6@protonmail.com • Especialista en Tecnologías de la Información y Comunicaciones • Experto en Derecho Tecnológico e Informática Forense, (DTIF), por la Unex • Coautor en el blog ‘Follow the White Rabbit’, (https://www.fwhibbit.es) • Premio Bitácoras 2016 al mejor blog de seguridad informática.
  • 5. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabemos…? ¿Sabemos qué ocurre cuando conectamos un dispositivo USB? ¿Sabemos cómo interactúa nuestra información con él? ¿Sabemos qué rastro dejamos atrás, sin ser conscientes de ello? Pruebas efectuadas bajo Windows 7 y bajo Windows 10 Análisis realizado con pequeñas utilidades, sin instalar nada Bajo varios supuestos: Dispositivo USB conectado Dispositivo USB conectado y explorado Dispositivo USB conectado y reparado Dispositivo USB conectado y un fichero abierto
  • 6. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Herramientas utilizadas Máquinas virtuales de Microsoft https://developer.Microsoft/en-us/Microsoft-edge/tolos/vms FTK Imager https://accessdata.com/product-download/ftk-imager-lite-versión-3.1.1 Strings https://docs.microsoft.com/en-us/sysinternals/downloads/strings Registry Explorer https://ericzimmerman.github.io/ ParseRacWMI https://phx4n6.wordpress.com/2014/01/10/ LECmd https://ericzimmerman.github.io/ LogFileParser https://github.com/jschicht/LogFileParser Thumbcache Viewer https://thumbcacheviewer.github.io/ BrowsingHistoryView https://www.nirsoft.net/utils/browsing_history_view.html PECmd https://ericzimmerman.github.io/ Eventvwr, (Visor de eventos)
  • 7. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabías que…?
  • 8. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Sabías que…?
  • 9. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y expulsado en W’7
  • 10. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registro de Windows: • El Registro de Windows es una base de datos, jerárquica y centralizada, que contiene información y configuraciones del sistema y del usuario para equipos con Windows. Estas configuraciones pueden ser desde el fondo del escritorio del usuario hasta la configuración de la zona horaria para el Sistema (El corazón de Windows) WindowsSystem32configSOFTWARE WindowsSystem32configSYSTEM
  • 11. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSOFTWARE
  • 12. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSYSTEM
  • 13. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registro de Windows: • El registro tiene un grupo de archivos auxiliares que contienen copias de seguridad de sus datos WindowsSystem32configSOFTWARE.LOG1 WindowsSystem32configSYSTEM.LOG1
  • 14. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSOFTWARE.LOG1
  • 15. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32configSYSTEM.LOG1
  • 16. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registros SetupAPI: • Cuando un dispositivo USB se conecta por primera vez a un sistema Windows, el administrador de PnP consulta el dispositivo para determinar la información sobre el dispositivo, para descubrir qué controladores cargar para ese dispositivo • El administrador Plug and Play (PnP) y el SetupAPI registran información sobre eventos de instalación Windowsinfsetupapi.dev.log Windowsinfsetupapi.ev3
  • 17. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Windowsinfsetupapi.dev.log
  • 18. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Windowsinfsetupapi.ev3
  • 19. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Registros de eventos: • Archivo que contiene información sobre todas las actividades • Los registros de eventos son generados por los mecanismos de auditoría y están integrados en el sistema operativo Windows • Registran información importante sobre software y hardware • Información cronológica WindowsSystem32winevtLogsMicrosoft-Windows- DriverFrameworks-UserMode%4Operational.evtx WindowsSystem32winevtLogsSystem.evtx
  • 20. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows- DriverFrameworks-UserMode%4Operational.evtx
  • 21. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsSystem.evtx
  • 22. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Eventos de rastreo, (Event Trace Log): • Seguimiento de eventos para aplicaciones • Registradores automáticos asociados al visualizador de eventos • Controladores que inician y detienen. Los controladores son aplicaciones • Registro de seguimiento de eventos, (.etl), almacena los mensajes de rastreo generados durante las sesiones WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog- System.etl
  • 23. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32LogFilesWMIRtBackupEtwRTEventLog- System.etl
  • 24. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Proveedor de contexto WDI: • Windows Diagnostic Infrastructure, (WDI) • Registradores automáticos que están se inician automáticamente • Se escribe una selección de eventos en las sesiones • Copias de seguridad de sesiones anteriores de Windows WindowsSystem32wdiLogFilesWdiContextLog.etl.002
  • 25. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesWdiContextLog.etl.002
  • 26. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Boot Circular Kernel Context Logger: • Fichero de rastreo de inicio • Se crea cada vez que un perfil inicia sesión por primera vez • Parte de la Infraestructura de diagnóstico de Windows, (WDI) WindowsSystem32wdiLogFilesBootCKCL.etl
  • 27. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesBootCKCL.etl
  • 28. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y abierto en W’7
  • 29. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y ‘reparado’ en W’7
  • 30. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Repositorio CIM: • Tipos de datos y objetos de datos. • Este archivo parece ser un repositorio CIM, asociado con WMI • Se almacenan las definiciones de recursos gestionados • Se almacena información de configuración y gestión de diferentes recursos. WindowsSystem32wbemReporitoryOBJECTS.DATA
  • 31. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wbemReporitoryOBJECTS.DATA
  • 32. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivo de paginación: • Técnica de administración de memoria que funciona como un almacenamiento secundario para la memoria de Windows • Almacena marcas de memoria • Usado cuando lo demanda la memoria física • Fichero de sistema y oculto • Nunca puede ser leído ni accedido por un usuario pagefile.sys
  • 33. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? pagefile.sys
  • 34. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Monitor de confiabilidad de Windows: • Herramienta de diagnóstico que registra los cambios existentes en un Sistema • Instalación de software, (cualquier acción sobre ellos) • Instalación de controladores • Información muy complicada de eliminar ProgramDataMicrosoftRACStateDataRacWmiEventData.dat ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
  • 35. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? ProgramDataMicrosoftRACStateDataRacWmiEventData.dat
  • 36. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? ProgramDataMicrosoftRACStateDataRacWmiDatabase.sdf
  • 37. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y expulsado en W’10
  • 38. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows- Partition%4Diagnostic.evtx
  • 39. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32winevtLogsMicrosoft-Windows-Kernel- PnP%4Configuration.evtx
  • 40. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32WDI{86432ª0b-3c7d-4ddf-a89c- 172faa90485d}{96e711c2-fc05-434d-a4c8- 5483b41587bf}snapshot.etl
  • 41. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y abierto en W’10
  • 42. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y ‘reparado’ en W’10
  • 43. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’7
  • 44. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’7
  • 45. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserNTUSER.DAT
  • 46. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserntuser.dat.LOG1
  • 47. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Accesos directos: • Se genera en el Sistema cuando se abre un fichero o directorio • Un archivo LNK es un acceso directo, o un “enlace simbólico”, utilizado por Windows como referencia a un archivo original • Contiene el tipo de destino de acceso directo, la ubicación y el nombre de archivo, así como el programa que abre el archivo UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
  • 48. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
  • 49. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecent*
  • 50. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivos de registro: • Archivo de registro principal del sistema de ficheros NTFS • Contiene registros de todas las transacciones, (acciones), para garantizar la integridad de los datos • Contiene metadatos y atributos que describen un fichero o directorio $LogFile
  • 51. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
  • 52. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
  • 53. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? $LogFile
  • 54. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Vistas en miniatura: • Base de datos centralizada de imágenes de tamaño reducido • Creado por el Sistema cuando se utiliza la vista en miniatura • No se actualiza cuando desaparecen las imágenes • Se incluyen en él los medios extraíbles • Se incluyen los datos de volúmenes cifrados UsersIEUserAppDataLocalMicrosftWindowsExplorerthumbca che*
  • 55. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthum bcache*
  • 56. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Archivos de registro de navegación: • Es el equivalente al fichero ‘Index.dat’ • Base de datos ESE, (Extensible Storage Engine) • Información sobre caché, historial, ficheros descargados, … • Incluso navegando InPrivate • Y usada por varias aplicaciones de Windows, (Búsqueda en el escritorio de Windows, Windows Mail, Live Messenger, …) UsersIEUserAppDataWindowsWebCacheV01.log UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
  • 57. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataWindowsWebCacheV01.log
  • 58. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataWindowsWebCacheWebCacheV01.dat
  • 59. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsSystem32wdiLogFilesBootCKCL.etl
  • 60. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Dispositivo USB conectado y fichero abierto en W’10
  • 61. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? “Listas de salto”, (JumpList): • Colección de archivos LNK almacenados por las aplicaciones • Barra de tareas de acceso rápido a los archivos de una aplicación • Proporciona a los usuarios una indicación gráfica de los elementos recientes a los que accede cada aplicación • Se crea cuando se abre un fichero • Registran el mismo tipo de datos que los ficheros LNK UsersIEUserAppDataRoamingMicrosoftWindowsRecentAuto maticDestinations5f7b5f1e01b83767.automaticDestinations-ms
  • 62. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataRoamingMicrosoftWindowsRecentA utomaticDestinations5f7b5f1e01b83767.automaticDestination s-ms
  • 63. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? Prefetch: • Windows crea un archivo de búsqueda previa cuando una aplicación se ejecuta por primera vez. • Se usa para acelerar la carga de aplicaciones. • Datos valiosos sobre el historial de aplicaciones de un usuario en un Sistema WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
  • 64. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? WindowsPrefetchMICROSOFT.PHOTOS.EXE-C3AB1CC8.pf
  • 65. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthu mbcache*
  • 66. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Dónde mirar? UsersIEUserAppDataLocalMicrosftWindowsExplorerthu mbcache*
  • 67. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y expulsado 95 coincidencias ASCII Unicode 105 coincidencias Hexadecimal 11 coincidencias en espacio libre del disco duro
  • 68. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y abierto 95 coincidencias ASCII Unicode 106 coincidencias Hexadecimal 10 coincidencias en espacio libre del disco duro
  • 69. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y reparado 171 coincidencias ASCII Unicode 140 coincidencias Hexadecimal 16 coincidencias en espacio libre del disco duro
  • 70. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 7: Dispositivo USB conectado y fichero abierto 84 coincidencias ASCII Unicode 97 coincidencias Hexadecimal 29 coincidencias ASCII Unicode 27 coincidencias Hexadecimal
  • 71. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y expulsado 96 coincidencias ASCII Unicode 64 coincidencias Hexadecimal 33 coincidencias en espacio libre del disco duro
  • 72. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y abierto 96 coincidencias ASCII Unicode 64 coincidencias Hexadecimal 33 coincidencias en espacio libre del disco duro
  • 73. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y reparado 109 coincidencias ASCII Unicode 59 coincidencias Hexadecimal 28 coincidencias en espacio libre del disco duro
  • 74. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¿Un resumen? Windows 10: Dispositivo USB conectado y fichero abierto 86 coincidencias ASCII Unicode 51 coincidencias Hexadecimal 35 coincidencias ASCII Unicode 32 coincidencias Hexadecimal
  • 75. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Conclusiones • Conectar un dispositivo USB, a nivel de evidencias, equivale a conectarlo y explorarlo • La información que dejamos atrás se puede extraer incluso de dispositivos USB conectados, que se encuentran cifrados • No existen, a día de hoy, herramientas anti-forenses capaces de eliminar todo este rastro de dispositivos externos. • ¿A nuevas versiones de Windows, más artefactos para jugar? • Piénsatelo dos veces antes de conectar un dispositivo USB • Cuenta hasta 10 antes de abrir un fichero en un dispositivo USB
  • 76. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 ¡¡Muchas gracias por su atención!!
  • 77. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 Lo hizo un mago
  • 78. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 was brought to you by:
  • 79. @CONPilarZgz www.conpilar.es Let’s tweet !! #CONPilar18#CONPilar18 was brought to you by: ¡¡Muchas gracias!!