Extracción y análisis de los Registros de Eventos en Windows

Muy buenas amigos, ya estoy de vuelta para mostrar un tema del que se suele hablar poco y que yo considero importante para realizar un correcto análisis en entornos Windows. Nos valdrá para todo tipo de contextos (malware, ciberdelincuentes, incluso para esa especie maligna que cada día avanza mas y mas, los insiders). Estos registros (junto con otras evidencias que extraigamos y analizemos) nos ayudarán a poner fin a sus desmanes.

Uno de los archivos que si o si debemos analizar cuando investigamos un equipo (que en este caso, es aras de facilitar conceptos y asimilación, sera un Windows 10 pro) son los registros de Eventos.

Genial, eso esta muy bien, pero ¿qué son los registros de Eventos? Muy fácil, mirad los registros de eventos contienen el histórico de eventos producidos en la máquina. Registran todo tipo de eventos, desde eventos del sistema, a eventos de aplicación, pasando incluso por los eventos de seguridad. Esto ya empieza a gustar ¿verdad?

Muy bien, sigamos con lo nuestro, el analizar estos eventos nos permite trazar toda la actividad de la máquina: creación de cuentas, conexiones remotas, creación y arranque de servicios. Podemos recabar una ENORME cantidad de información sobre lo que ha pasado en y con esa máquina. Debemos analizarlos cuidadosamente para poder comprender en toda su dimensión lo que ha pasado.

Os aseguro que siempre que muestro esto, aquellas personas a quienes se lo enseño les asombra la cantidad y calidad de la información que se extrae, por tanto os recomiendo amigos míos, que le dediquéis un poco de tiempo a esta valiosa fuente de información.

Puestos en antecedentes, tan solo resta añadir que estos archivos tienen formato evt (o evtx desde Windows Vista, ¿alguien se acuerda aún de Vista?) y generalmente suelen guardarse en la siguiente dirección C:\Windows\system32\winevt, para muestra…

Como dicen que una imagen vale mas que mil palabras, aquí se puede ver donde están, no hay que hacer grandes historias para localizarlos.

Quiero asimismo comentar también que estos no son archivos de texto, por tanto para poderlos analizar con mas rapidez, comodidad y eficacia los pasaremos a formato .csv y desde ahí podremos analizarlos con total comodidad. ¿Cómo los pasaremos a ese formato? Con la utilidad log2timeline. Con esta utilidad escrita en perl, podremos calcular un timeline de cada registro de evento con total comodidad. ¿Y dónde se consigue? Pues podéis ir aquí https://code.google.com/archive/p/log2timeline/, lo bajáis, instaláis dependencias, compilar y demás (oye, para gustos los colores) o podéis optar por lo cómodo:


Tan difícil como esto. Vosotros decidís.

Ya puestos en antecedentes y explicado todo tan solo nos queda un pequeño detalle, los registros en si.

Obtención de los registros

En este ejemplo, va a extraerse usando la herramienta Fastir_Collector ( https://github.com/SekoiaLab/Fastir_Collector) de la gente de SekoiaLab. Es una herramienta sobre la que leí un mas que interesante post de Marcos (@_N4rr34n6_)  que os recomiendo leáis ya que explica muy bien su uso (https://www.fwhibbit.es/triage-en-windows-fastir-collector) .

Para este post de Registro de Eventos nos sirve de sobra…

 

También podéis extraerlo desde el visor de eventos del propio Windows…

Incluso por linea de comandos (https://technet.microsoft.com/es-es/library/cc749339(v=ws.11).aspx)

Lo hagáis como lo hagáis, como se puede apreciar aquí hay muchas alternativas, usad la que mejor os venga.

Ahora solamente queda parsear y analizar…

Instrucción:

log2timeline -f evtx ‘/media/diego/WD/fastir/2017-01-16_192053/evt/NEBUCHADNEZZAR_Security.evtx’ -w /home/diego/Escritorio/security.csv

Con la -f le indicamos el tipo de archivo que es (evtx) luego le indicamos con -w donde queremos que escriba el archivo con el resultado (/home/diego/Escritorio/security.csv) y ya está. Obviamente esta herramienta tiene muchas mas opciones, pero de momento nos quedaremos con lo básico.

Ahora lo abrimos con libreoffice

Y ahí tenemos un histórico de todos los logueos en el sistema.

Así veríamos eventos del sistema…

Podemos analizar registros del firewall, conexiones, usuarios…etc. Un ENORME caudal de información que nos ayudará mucho, si sabemos aprovecharlo lógicamente.

Ahora nos preparamos un script en bash para no complicarnos mucho, con un bucle por aquí y un par de cosillas por allá y ya tenemos todos los registros parseados en un momento con un trabajo mínimo por nuestra parte. Ahora toca hacer nuestro análisis y averiguar el que, cuándo, por qué y a ser posible quién.

Bueno, esto sería una primera toma de contacto, tampoco quiero aburrir mas. Debeis saber que esta misma aplicación se puede usar para analizar enlaces, archivos pcap, documentos office, papelera de reciclaje…etc. Os recomiendo encarecidamente que le dediquéis un poco de tiempo, sin duda os sorprenderán los resultados.

¡Hasta la próxima amigos!

ENTREVISTA A LA ASOCIACIÓN STOP VIOLENCIA DE GÉNERO DIGITAL

Hola a todos, antes de empezar me gustaría realizar una reflexión, la violencia de género, acoso  y ciberacoso está a la orden del día, casos de acoso como el de la menor que se quitó la vida en Murcia, o el de una madre asociada a STOP violencia de género digital que está pasando por  un caso similar, son historias desgarradoras,  pero ¿QUÉ PODEMOS HACER PARA AYUDAR A LAS VÍCTIMAS Y PARARLES LOS PIES A LOS AGRESORES?

En @aprendizdesys hemos querido aportar nuestro granito de arena y hemos realizado una entrevista a Encarni Iglesias Pereira, Presidenta de la Asociación STOP Violencia de Género Digital.

 

¿Cómo podríamos definir el término Violencia de Género Digital?

Desde la asociación definimos el termino Violencia de Género Digital, como cualquier acción que mediante medios digitales, ya sea redes sociales, correos electrónicos, dispositivos móviles, etc.; amenace o extorsione a cualquier persona.

Hay que destacar que la mayoría de estas víctimas no saben que están sufriendo un caso de ciberacoso o violencia digital, y menos como reaccionar ni que medidas tomar para que las comunicaciones en sus redes sociales, teléfonos, tabletas u ordenadores, no sean intervenidos sin su consentimiento.

¿Cómo nace la idea de crear una asociación contra la violencia de género digital?

La idea de crear una asociación dedicada a ayudar a las víctimas de violencia de género digital y ciberacoso nace después de una experiencia personal de este tipo de casos.

Cuando estas del otro lado del problema, el de la víctima, te das cuenta que por un lado desconoces realmente los medios que tiene el ciberacosador para poder hacerte daño, no sabes que por no cuidar tu seguridad en los perfiles de tus redes sociales, móviles y ordenadores realmente le facilitas los canales para poder acosarte.

Cuando te decides a denunciar, tienes una sensación de vacío e impotencia ya que te toca demostrar ese ciberacoso mediante unas pruebas que desconoces como comprobar su veracidad y en los juzgados de violencia de género desconocen el tema.

Como te decía, mi experiencia personal, me motivó a formarme y a crear esta asociación para que ninguna mujer pase por lo que yo pasé. Que el desconocimiento o la falta de medios no sea una excusa para no animarte a denunciar al agresor.

¿Cuál es vuestro protocolo de actuación ante un caso de violencia de género digital?

Nuestro protocolo de actuación se basa en el programa “DIPE” (Detectar, Identificar, Proteger y Educar)

  1. Detectamos el tipo de ciberacoso o violencia digital al que esta siendo sometido la víctima
  2. Identificamos y analizamos los dispositivos mediante los cuales se esta sufriendo el acoso, para poder así extraer una evidencia que le sea útil a la víctima para presentar junto con una demanda
  3. Protegemos los dispositivos de la víctima para evitar posibles futuros ataques. Le generamos confianza de que puede seguir utilizando sus dispositivos y redes sociales sin peligro
  4. Educamos, sobre los peligros que tiene navegar de forma no segura en la red y dotamos de herramientas para que sus dispositivos estén seguros

¿Quién puede pertenecer a vuestra asociación?

Cualquier persona que quiera ayudar a las víctimas de violencia de género digital para ayudarles a luchar contra los cibermaltratadores e incentivarlas que lo más importante es denunciar.

Nosotros separamos a nuestros socios en dos grupos.

Por un lado tenemos a Peritos Colaboradores, los cuales son profesionales del área de informática forense y peritaciones informáticas, que mediante nuestra asociación ayuda a las víctimas para la extracción y análisis de evidencias realizando informes periciales como prueba para una denuncia ante un agresor. El coste para ser perito colaborador de la asociación es 60€, lo cual conlleva estar incluido en los decantados de los juzgados de sus provincias y una póliza de responsabilidad civil.

Y por otro, lo que llamamos “socios”, son todas aquellas personas que no poseen conocimiento de informática forense pero que quieren colaborar con la causa y dar su granito de arena para erradicar a esta lacra. A estas personas se les pide una donación anual de 25€.

¿Cuánto tiempo hace que estáis en activo?

Como asociación llevamos poco tiempo unos 8 meses; aunque anteriormente como peritos informáticos ya habíamos trabajado con casos de violencia digital y ciberacoso.

¿Dais cobertura a nivel nacional?

Si, contamos con peritos judiciales prácticamente en toda España.

¿Estáis enfocados a un colectivo en concreto (Menores, mujeres, etc.)

No, creemos que la violencia es violencia y no mira sexo, ni edad ni religión. Tratamos con todo tipo de personas: mujeres, hombres, menores y colectivo LGTB.

¿Cuál es la mayor dificultad con la que os habéis encontrado hasta ahora, para poder dar ayuda a las víctimas de este tipo de violencia?

Creo que la mayor dificultad con la que nos hemos encontrado, es hacerles comprender a los jueces y cuerpos de seguridad que este tipo de violencia es sumamente dañina, pues el anonimato que te da internet y la rapidez con la que se difunde por las redes sociales, están causando daños psicológicos muy importantes a la persona objeto del ciberacoso.

 

¿Te gustaría darles alguna recomendación a nuestros lector@s que estén ante este tipo de violencia?

Que sepan que están sufriendo un delito, que existen los medios para comprobarlo y que no tengan miedo a denunciarlo, que no esperen más tiempo que entre antes se denuncie antes se terminará.

Os invitamos a que nos conozcan  mediante nuestro sitio web www.stopviolenciadegenerodigital.com, por correo electrónico en info@stopviolenciadegenerodigital.com o al teléfono: 659082631

 

Recomendaciones de seguridad en WordPress (Shared Hosting)

Tras mi último incidente con Rusos y Ucranianos en estas fiestas, decidí escribir este post, más bien por las limitaciones que te puedes encontrar a la hora de mitigar este tipo de ataques, en hostings compartidos, y sin la opción de poder utilizar IPtables + Fail2Ban, para poner fin al intento de ataque con una par de comandos linuxeros.

CUENTA DE ADMINISTRADOR

Esta cuenta solo se utilizara para tareas de administración, actualizaciones, instalación de plugins, etc… y como siempre una contraseña fuerte y un nombre de usuario que no indique su rol o tenga algo que ver con el nombre del blog, sus editores, o cualquier asunto relacionado con el blog.
Todas las entradas o páginas creadas, deben ser de un autor diferente al administrador.

ACCESO AL BACKEND DE WORDPRESS

La ruta de acceso debe cambiarse, podemos utilizar un plugin como WPS Hide Login o similar, la mayoría de ataques se realizan casi siempre con el nombre de usuario por defecto de wordpress, o algunos de los que se puedan encontrar en el blog, y utilizando la ruta por defecto de inicio de sesión (www.domino.es/wp-login.php).
Con este plugin lo que hacemos es cambar dicha ruta a otra, como por ejemplo, www.dominio.es/chiquilicuatre , y así evitar ataques automatizados.

LIMITE DE INTENTOS DE LOGIN

Una de las medidas más habituales es limitar los intentos de acceso/error a nuestro wordpress, para ello podemos utilizar Wp limit login attempts, así evitaremos ataques por fuerza bruta, fácil de usar y configurar.

 

BLOQUEO POR PAÍS

Otro plugin que nos puede venir muy bien es ip geo block, una pequeña joya muy completa y útil en este tipo de escenarios, pero recomiendo antes de utilizarlo echar un vistazo a su codex, para saber cómo configurar el plugin y sacarle el mayor provecho.

Con este plugin podemos bloquear el acceso por país, rangos o excluir o agregar ip`s  , además de crear listas (blanca o negra), una vez bloqueado el acceso, puedes redirigir el tráfico hacia una página 503, o una URL de tu elección, muy útil la verdad.

FIREWALL O SUITE DE SEGURIDAD

Otra medida importante es utilizar algún tipo de Firewall o suite de seguridad, podemos encontrar varias muy completas y que además, incluyen algún tipo de protección como los plugins indicados anteriormente.
Entre ellas podemos destacar 3, iThemes Securitysucuri-security, y All in one wp security and firewall.


Las opciones de estas 3 suites son muy amplias, y además nos pueden guiar a la hora de securizar nuestro wordpres con sus recomendaciones, scanners de malware, virus o firewall, si a esto le unimos algún tipo de Backup automático como Updraftplus, y mantenemos los plugins y wordpress actualizado, le pondremos las cosas un poco mas difícil, a los chicos malos en sus ataques automatizados a nuestro hosting compartido.