AntiforenseTécnicas y herramientas

Juan Luis García Rambla

Responsable Departamento de Seguridad

MVP Security

jlrambla@informatica64.com

Introducción

Toda técnica enfocada a:

Ocultar.

Eliminar.

Alterar

Evidencias o su existencia en un caso forense

¿Qué es antiforense?

Las técnicas antiforense se aplican como contramedidas en:

Online-Forensics.

Offline-Forensics.

¿Qué escenarios existen?

El potencial atacante busca:

Que la información exista aunque se dificulte o complique su detección.

Disfrazar en información superflua, información crítica para un caso.

Modificar la información para su dificultad a la hora de realizar un análisis forense.

Eliminar los datos existentes para impedir el descubrimiento de evidencias.

Garantías

El primer objetivo será siempre intentar detectar la existencia de medidas antiforense

En algunas circunstancias las técnicas podrá ser detectada y recuperarse las evidencias.

En otras solo podrán detectarse las técnicas.

Otras veces no pueden ser detectadas ni las técnicas.

La detección de determinadas técnicas requieren a veces el análisis de tipo online.

Detección de técnicas

Ocultación de la información

Consiste en impedir que el sistema o aplicaciones de búsqueda puedan detectar determinada información.

La información está ahí pero resulta difícil su recuperación.

Determinadas aplicaciones están especificados para escenarios online.

Las de ocultación en análisis offline también serán válidos para búsqueda online.

Ocultar

Determinadas aplicaciones aprovechan capacidades del sistema operativo no explotables directamente pero en esencia “conocidas”.

Espacio desaprovechado: Slack.

Funcionalidad del sistema de ficheros: ADS.

Aprovechando el sistema operativo

Demo Slacker

Determinadas aplicaciones de mercado ocultan ficheros en el sistema.

Eliminan de la tabla de particionamiento (MFT).

Recogen toda una carpeta o ficheros sueltos en un único fichero cambiándoles el formato. Por ejemplo lo incluyen en formato HTML.

Ocultando ficheros

Demo FHF

Alteración de la información

En muchos escenarios se intenta confundir al investigador alterando los datos existentes para dificultar la investigación.

El objetivo principal son algunas de las figuras típicas del análisis forense.

Algunas aplicaciones son especialmente diseñadas como contramedidas para herramientas forense.

Alteración

Decaf es una herramienta que trabaja como residente en el sistema esperando la ejecución de COFEE para empezar a alterar el sistema.

Modifica el sistema.

MAC de la tarjeta de red.

Deshabilita dispositivos.

Elimina información crítica del equipo.

Mata procesos.

Permite que puedas recibir un correo cuando un equipo que tiene instalado Decaf, está siendo analizado por Cofee.

Decaf vs COFEE

Demo

La línea temporal de los ficheros suele ser un dato crítico para llevar a cabo una investigación.

Ataques, alteraciones del sistema o modificaciones de ficheros importantes son objetivos en el análisis temporal.

Determinadas aplicaciones permiten la modificación de los tiempos de ficheros.

En algunas circunstancias pueden alterar de tal forma los datos para que no puedan ser ni leídos por aplicaciones forense de reconocido prestigio

Línea temporal

En ocasiones cifrar es una alternativa a la ocultación.

Se sabe que la información está ahí pero es necesario conocer de que forma se cifra para poder descifrar su contenido.

Se puede llegar a combinar con otras técnicas de antiforense. Algunas de la suite antiforense presentan capacidades de cifrado para ejercitarlas sobre ficheros.

Cifrado

Eliminación de la información

A veces para un potencial atacante la mejor forma de no dejar rastros es eliminar la información existente.

Determinadas aplicaciones y suite permiten eliminar el contenido de ficheros o discos “Wipeando” su contenido.

Para evitar una recuperación offline es necesario varias pasadas de 1 y 0.

Eliminando datos