Extracción y análisis de los Registros de Eventos en Windows

Muy buenas amigos, ya estoy de vuelta para mostrar un tema del que se suele hablar poco y que yo considero importante para realizar un correcto análisis en entornos Windows. Nos valdrá para todo tipo de contextos (malware, ciberdelincuentes, incluso para esa especie maligna que cada día avanza mas y mas, los insiders). Estos registros (junto con otras evidencias que extraigamos y analizemos) nos ayudarán a poner fin a sus desmanes.

Uno de los archivos que si o si debemos analizar cuando investigamos un equipo (que en este caso, es aras de facilitar conceptos y asimilación, sera un Windows 10 pro) son los registros de Eventos.

Genial, eso esta muy bien, pero ¿qué son los registros de Eventos? Muy fácil, mirad los registros de eventos contienen el histórico de eventos producidos en la máquina. Registran todo tipo de eventos, desde eventos del sistema, a eventos de aplicación, pasando incluso por los eventos de seguridad. Esto ya empieza a gustar ¿verdad?

Muy bien, sigamos con lo nuestro, el analizar estos eventos nos permite trazar toda la actividad de la máquina: creación de cuentas, conexiones remotas, creación y arranque de servicios. Podemos recabar una ENORME cantidad de información sobre lo que ha pasado en y con esa máquina. Debemos analizarlos cuidadosamente para poder comprender en toda su dimensión lo que ha pasado.

Os aseguro que siempre que muestro esto, aquellas personas a quienes se lo enseño les asombra la cantidad y calidad de la información que se extrae, por tanto os recomiendo amigos míos, que le dediquéis un poco de tiempo a esta valiosa fuente de información.

Puestos en antecedentes, tan solo resta añadir que estos archivos tienen formato evt (o evtx desde Windows Vista, ¿alguien se acuerda aún de Vista?) y generalmente suelen guardarse en la siguiente dirección C:\Windows\system32\winevt, para muestra…

Como dicen que una imagen vale mas que mil palabras, aquí se puede ver donde están, no hay que hacer grandes historias para localizarlos.

Quiero asimismo comentar también que estos no son archivos de texto, por tanto para poderlos analizar con mas rapidez, comodidad y eficacia los pasaremos a formato .csv y desde ahí podremos analizarlos con total comodidad. ¿Cómo los pasaremos a ese formato? Con la utilidad log2timeline. Con esta utilidad escrita en perl, podremos calcular un timeline de cada registro de evento con total comodidad. ¿Y dónde se consigue? Pues podéis ir aquí https://code.google.com/archive/p/log2timeline/, lo bajáis, instaláis dependencias, compilar y demás (oye, para gustos los colores) o podéis optar por lo cómodo:


Tan difícil como esto. Vosotros decidís.

Ya puestos en antecedentes y explicado todo tan solo nos queda un pequeño detalle, los registros en si.

Obtención de los registros

En este ejemplo, va a extraerse usando la herramienta Fastir_Collector ( https://github.com/SekoiaLab/Fastir_Collector) de la gente de SekoiaLab. Es una herramienta sobre la que leí un mas que interesante post de Marcos (@_N4rr34n6_)  que os recomiendo leáis ya que explica muy bien su uso (https://www.fwhibbit.es/triage-en-windows-fastir-collector) .

Para este post de Registro de Eventos nos sirve de sobra…

 

También podéis extraerlo desde el visor de eventos del propio Windows…

Incluso por linea de comandos (https://technet.microsoft.com/es-es/library/cc749339(v=ws.11).aspx)

Lo hagáis como lo hagáis, como se puede apreciar aquí hay muchas alternativas, usad la que mejor os venga.

Ahora solamente queda parsear y analizar…

Instrucción:

log2timeline -f evtx ‘/media/diego/WD/fastir/2017-01-16_192053/evt/NEBUCHADNEZZAR_Security.evtx’ -w /home/diego/Escritorio/security.csv

Con la -f le indicamos el tipo de archivo que es (evtx) luego le indicamos con -w donde queremos que escriba el archivo con el resultado (/home/diego/Escritorio/security.csv) y ya está. Obviamente esta herramienta tiene muchas mas opciones, pero de momento nos quedaremos con lo básico.

Ahora lo abrimos con libreoffice

Y ahí tenemos un histórico de todos los logueos en el sistema.

Así veríamos eventos del sistema…

Podemos analizar registros del firewall, conexiones, usuarios…etc. Un ENORME caudal de información que nos ayudará mucho, si sabemos aprovecharlo lógicamente.

Ahora nos preparamos un script en bash para no complicarnos mucho, con un bucle por aquí y un par de cosillas por allá y ya tenemos todos los registros parseados en un momento con un trabajo mínimo por nuestra parte. Ahora toca hacer nuestro análisis y averiguar el que, cuándo, por qué y a ser posible quién.

Bueno, esto sería una primera toma de contacto, tampoco quiero aburrir mas. Debeis saber que esta misma aplicación se puede usar para analizar enlaces, archivos pcap, documentos office, papelera de reciclaje…etc. Os recomiendo encarecidamente que le dediquéis un poco de tiempo, sin duda os sorprenderán los resultados.

¡Hasta la próxima amigos!

4 opiniones en “Extracción y análisis de los Registros de Eventos en Windows”

    1. Si este humilde post que he escrito te ha gustado, eso me hace sentirme muy dichoso. No todos los días alguien a quien tanto respetas te lo dice. Gracias por pasarte por aquí. Un abrazo amigo

  1. Excelente aportación!!! Nota para vagos o, simplemente, gente con poco tiempo. Si la máquina cuyos eventos queréis analizar tiene sql server instalado, sabed que con el visor de logs de la base de datos, que puede consultarse con sql server management studio, se puede obtener una vista más amigable de los eventos del servidor así como exportarlos etc

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *