LOS ARTIFACTS EN LA INFORMÁTICA FORENSE

Autor: Ainoa Guillén González

Introducción

Los análisis forenses en el ámbito informático son una rama que cada vez está más demandada, principalmente a causa de la cantidad de incidentes que se producen. Cuando este análisis forense se hace sobre el sistema operativo Windows, uno de los objetos que más valor tienen son, precisamente, los artifacts.

Palabras clave: Forense, informática forense, Windows, incidentes, ciberseguridad.

¿Qué es un artifacts?

Dentro del análisis forense, se llama artifacts a aquellos objetos que contienen datos y evidencias de que «algo ocurrió» en esa parte del sistema, registran y almacenan las diferentes acciones que realiza el SO. Por lo tanto, tienen un alto valor forense por la posibilidad de encontrar evidencias en ellos que puedan ayudar a resolver la investigación.

Estos registros o caché de aplicaciones se pueden utilizar para analizar eventos antes y después de un incidente en el sistema.  Un ejemplo sencillo para que sea posible entender qué es exactamente un artifacts, sería la papelera de reciclaje. Este objeto en el sistema, como inicio de la investigación, contiene información que puede ser de mucha utilidad para descubrir indicios en el análisis forense de un equipo.

Fases del análisis forense

Las fases de un análisis forense se dividen en los siguientes pasos:

·        Preservación: Aislar los datos, asegurarlos y conservarlos de forma correcta para evitar posibles incidentes y pérdida de información.

·        Identificación: Identificar las necesidades de la investigación, los recursos que se necesitarán, el dispositivo que se requiere analizar, etc.

·        Adquisición: Recibir los datos que sean relevantes para la investigación.

·        Analizar: Es la parte más importante del análisis forense, ya que debemos interpretar los datos que hemos obtenido para darles una coherencia y sentido, pudiendo vincularlos o no al incidente que está siendo investigado.

·        Informe: Es la fase final de todo proyecto, debe documentarse todo el proceso para facilitar la comprensión del incidente.

Es en la parte de adquisición y análisis donde un investigador que se enfrente a un ejercicio forense de un SO Windows deberá prestar especial atención a los artifacts. 

 

Algunos de los artifacts más importantes

 

Papelera de reciclaje

Almacena datos que se han eliminado, ofreciendo la posibilidad de ser recuperados, ya que un usuario podría borrarlos por error. Estos pueden ser útiles en un análisis y existen métodos para ver archivos ocultos en la papelera. Al directorio donde se almacena esta dirección se le llama: $ Recycle.Bin

Navegadores web

Los navegadores almacenan una gran cantidad de información sobre las actividades que ha realizado el usuario cuando visita distintas páginas de internet o realiza búsquedas, teniendo cada uno (GoogleChrome, Firefox, Microsoft Edge…) sus ventajas y desventajas.

El navegador además contiene información relevante como los diferentes login, cuentas de usuario, credenciales o datos que requiere la función autocompletar. Estos son almacenados y es posible acceder a ellos para su recuperación. Estos datos son accesibles en las diferentes rutas donde cada navegador guarda su información, un ejemplo de ello, en Firefox, sería el siguiente directorio: C: \ Users \% USERNAME% \ AppData \ Mozilla \ Firefox \ Profiles \ fcp6fltm.default donde podríamos ver información cacheada sobre la actividad del usuario.

La función de Informes de Errores de Windows (WER)

Esta función incorporada en el SO de Windows permite a los usuarios notificar a Microsoft sobre fallas de aplicaciones, fallas del kernel, aplicaciones que no responden y otros problemas específicos de la aplicación. Esta puede proporcionar información que indican si un programa (malicioso o no) ha fallado durante su ejecución. Existen diferentes rutas donde se puede investigar este tipo de archivos, se pueden encontrar en los siguientes directorios: C: \ ProgramData \ Microsoft \ Windows \ WER \ y C: \ Users \ XXX \ AppData \ Local \ Microsoft \ Windows \ WER \

 

El caché del RDP (Remote Desktop Protocol)

Es uno de los vectores más famosos que utilizan las distintas familias de malware para moverse lateralmente a través de una red. Este protocolo proporcionado por Windows permite la comunicación en la ejecución de una aplicación entre una terminal y un servidor Windows. El modo de funcionamiento del protocolo es sencillo. La información gráfica que genera el servidor es convertida a un formato propio RDP y enviada a través de la red al terminal, que interpretará la información contenida en el paquete del protocolo para reconstruir la imagen a mostrar en la pantalla del terminal.

Estos archivos pueden proporcionar información sobre los vectores de ataque ante un posible incidente y se pueden visualizar en la siguiente ruta, con herramientas específicas: C: \ Users \ XXX \ AppData \ Local \ Microsoft \ Terminal Server Client \ Cache

Archivos de registro

Los registros de Windows contienen una gran cantidad de detalles sobre los eventos que se han producido en el SO. Es el tesoro de cualquier analista forense. Es una base de datos jerarquizada que contiene todo lo relacionado con la configuración del sistema, la actividad del usuario, dispositivos externos conectados, software instalado, etc.

La gran cantidad de información que contiene hace que requiera de mucha práctica y de herramientas específicas para su exploración y obtención de evidencias relevantes. Pero cualquier usuario le puede echar un vistazo de forma sencilla.

En el cuadro de búsqueda de la barra de tareas, escriba regedit, a continuación, seleccione Editor del Registro (aplicación de escritorio) en los resultados.

Conclusiones

Esto son solo algunos de los artifacts que es posible encontrar en un sistema operativo Windows cuando se va a realizar un análisis forense. Pero existen muchos más, ya que es complejo entender las entrañas de todo un sistema operativo. El análisis forense busca dar una explicación a un incidente, indicar cómo ha sucedido, los vectores del ataque, el malware del que puede tratarse, a qué partes del sistema ha afectado… Por lo tanto, el análisis de estas evidencias es una pieza importante en esta labor.

Como decía el Principio del Intercambio de Locard “Todo contacto deja su rastro” y en informática no es diferente.

Bibliografía: 

  1. Definición de RDP: https://es.wikipedia.org/wiki/Remote_Desktop_Protocol

  2.  Información sobre Artifacts: https://nasbench.medium.com/windows-forensics-analysis-windows-artifacts-part-i-c7ad81ada16c

  3. El registro de Windows: https://support.microsoft.com/es-es/windows/c%C3%B3mo-abrir-el-editor-del-registro-en-windows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11#:~:text=En%20el%20cuadro%20de%20b%C3%BAsqueda,%2C%20a%20continuaci%C3%B3n%2C%20seleccione%20Aceptar.