Las 20 mejores Herramientas Forenses Informáticas de tendencias de 2018
- Introducción
- ¿Qué son las herramientas informáticas forenses?
- ¿Cuál es el trabajo de un investigador forense?
- Clasificación de herramientas forenses
- Volatility
- EnCase
- MailXaminer
- FTK
- REGA
- Bulk Extractor
- Oxygen Forensics
- FireEye RedLine
- Autopsy
- Wireshark
- Bloqueador de escritura USB
- X-Ways Forensics
- DumpZilla
- ExifTool
- Binwalk
- Hashdeep
- Volafox
- Chkrootkit
- SIFT
- CAINE
- ¿Cómo beneficia a una organización y a un experto en seguridad informática?
- Conclusión
Introducción
La palabra “Forense” se refiere a las técnicas utilizadas por los investigadores para resolver un delito. Cada invento tiene sus pros y sus contras. Las computadoras y los dispositivos electrónicos han evolucionado mucho más rápido y se están utilizando en los delitos modernos. El arte de investigar un crimen, llevado a cabo con o con computadoras, se llama informática forense. Para ser precisos, es la técnica utilizada para extraer y preservar pruebas de los dispositivos y posteriormente presentarlas en el tribunal de justicia. Las computadoras son tanto un objetivo como un arma. Los atacantes han evolucionado, están utilizando sistemas informáticos sofisticados para cometer delitos de phishing tan atroces (Aquí hay un recurso que lo guiará a través de ataques de seguridad cibernética). El objetivo puede ser un sistema doméstico, una red corporativa o incluso todos los ordenadores a los que se puedan conectar. Con esta creciente tasa de delitos que involucran computadoras, la recolección de pruebas se ha convertido en una parte vital. Esto requiere profesionales expertos en informática forense.
¿Qué son las herramientas informáticas forenses?
Estas son las herramientas que han sido desarrolladas por programadores para ayudar a la recolección de evidencia digital. Estas herramientas han evolucionado y pueden realizar todo tipo de actividades, desde el nivel básico hasta el avanzado. Las herramientas forenses se pueden clasificar en función de la tarea que realizan.
-
Herramientas forenses de red
-
Herramientas de análisis de bases de datos
-
Herramientas de análisis de archivos
-
Herramientas de análisis del registro
-
Herramientas de análisis de correo electrónico
-
Herramientas de análisis de SO
-
Captura de datos y discos
Discutiremos sobre 20 herramientas forenses con algún detalle más adelante en este artículo.
¿Cuál es el trabajo de un investigador forense?
La principal tarea de un investigador forense es encontrar y preservar la evidencia de los datos. Debe estar bien versado con los procedimientos y protocolos a seguir:
En el lugar del crimen,
-
Reunión y tratamiento de pruebas
Reúnen y preservan pruebas físicas y documentan sus actividades.
En el laboratorio,
-
Análisis de pruebas
Examinan lo que han reunido.
Intentan reconstruir lo que pasó.
En los tribunales
-
Presentación de pruebas y presentación de informes
Seguir normas estrictas para que su trabajo sea aceptable para el tribunal. Pueden ser llamados a testificar sobre sus hallazgos y métodos.
Clasificación de herramientas forenses
Volatility
Volatility es un marco de código abierto utilizado para realizar análisis forenses de memoria volátil. Está escrito en Python y es compatible con casi todas las máquinas de 32 y 64 bits. La lista completa de sistemas compatibles con volatility se puede encontrar en http://www.volatilityfoundation.org/faq
Puede realizar reconocimiento en listas de procesos, puertos, conexiones de red, archivos de registro, archivos DLL, volcados de bloqueo y sectores almacenados en caché. También puede analizar archivos de hibernación del sistema y también puede verificar la presencia del kit raíz. Puede descargar el marco de volatilidad desde https://code.google.com/archive/p/volatility/downloads
Ya está presente en Linux kali en la sección forense. A continuación se muestra una instantánea de la volatilidad.
EnCase
Encase es una herramienta de investigación forense multipropósito. Puede ayudar a los investigadores forenses a lo largo del ciclo de vida de la investigación:
-
Triaje forense: Priorización de los archivos para la volatilidad de la base de investigación y algunos otros parámetros.
-
Recopilar: Recopilación de datos digitales sin comprometer la integridad.
-
Descifrar: Capacidad para analizar archivos de datos cifrados descifrándolos. Esto se hace mediante el uso de mecanismos de recuperación de contraseñas.
-
Proceso: Ayuda a indizar la evidencia y a automatizar tareas comunes para que se pueda dedicar tiempo a la investigación en lugar del proceso.
-
Investigar: Puede realizar investigaciones para casi todos los sistemas operativos Windows y móviles.
-
Informe: Cree un informe que sirva a toda la audiencia. El informe debe tener plantillas de informes con varias opciones de formato.
La herramienta no es gratuita y el precio se puede solicitar aquí: https://www.guidancesoftware.com/encase-forensic
MailXaminer
Como su nombre indica, MailXaminer se utiliza para realizar análisis de correo electrónico. Puede examinar correos electrónicos de clientes de correo web y basados en aplicaciones. Ayuda al investigador a recopilar pruebas por correo electrónico, organizar las pruebas, buscar en los correos electrónicos utilizando varias opciones avanzadas como expresiones regulares. Tiene la capacidad de detectar e informar adjuntos de imágenes obscenas mediante el análisis de tonos de piel. Puede admitir más de 20 formatos de correo electrónico y puede generar el informe con pruebas en el formato requerido. Esto puede ayudar a cerrar el caso en un tribunal de justicia.
Esta no es una herramienta gratuita, pero la versión de evaluación se puede descargar desde: https://www.mailxaminer.com/
Fuente de imagen: https://lscnetwork.blog
FTK
El kit de herramientas FTK o forense se utiliza para escanear el disco duro y buscar pruebas. FTK está desarrollado por AccessData y tiene un módulo independiente llamado FTK Imager. Se puede utilizar para crear imágenes del disco duro, asegurando la integridad de los datos mediante hash. Puede crear una imagen del disco duro en un solo archivo para archivos en varias secciones, que se pueden unir más tarde para obtener una imagen reconstruida. Los investigadores pueden elegir entre la interfaz gráfica de usuario o la línea de comandos según su conveniencia.
Se puede acceder a más información sobre FTK en https://accessdata.com/products-services/forensic-toolkit-ftk
REGA
REGA se utiliza para realizar análisis del registro de Windows. La versión gratuita se puede descargar desde http://forensic.korea.ac.kr/tools/20151030_REGA_Freeware.zip
Es una aplicación basada en GUI. El usuario puede crear un caso y cargar el registro. Se puede buscar en el registro mediante filtros o manualmente mediante marcas de tiempo. Características de REGA:
– Recopilación de datos: Recopila archivos de registro de destino para enumerar y analizar.
– Recuperación: Recuperar el registro de claves eliminadas.
– Análisis:
-
Análisis de Windows: Propietario, Datos de instalación, etc.
-
Análisis de almacenamiento: Cuentas presentes, comandos de ejecución, análisis del historial del navegador (URL).
-
Análisis de conexiones de red: conexiones de unidades de red, etc.
-
Análisis de aplicaciones: Lista de ejecuciones automáticas, historial de uso de aplicaciones, etc.
-
Gestión de SW y HW: Instalaciones de software y hardware, conexiones de dispositivos de almacenamiento.
– Informes: Cree informes de resultados en formatos CSV.
La herramienta está escrita en C / C++ y está disponible en inglés, coreano y japonés.
Bulk Extractor
Bulk extractor se puede utilizar para extraer información importante de archivos y discos duros. La herramienta puede realizar un análisis independientemente de la jerarquía de archivos. Bulk Extractor viene instalado en Kali Linux, también se puede instalar manualmente en otro sistema operativo.
Enlace a Git: https://github.com/simsong/bulk_extractor
Bulk extractor crea un directorio de salida que incluye información sobre tarjetas de crédito, dominios de Internet, correos electrónicos, direcciones MAC, direcciones IP, Imágenes y videos, URL, números de teléfono, búsquedas realizadas, etc.
Oxygen Forensics
Oxygen Forensic Suite se utiliza para recopilar pruebas digitales de teléfonos móviles y servicios en la nube utilizados en los teléfonos. La suite puede omitir el bloqueo de pantalla de Android, obtener el historial de ubicaciones, extraer datos de almacenes en la nube, analizar registros de llamadas y datos, buscar palabras clave de datos, recuperar datos eliminados y exportar datos a varios formatos de archivo. Es compatible con varias plataformas móviles, incluidas Android, Sony, Blackberry y iPhone.
Genera informes fáciles de entender para facilitar la correlación.
Visite el sitio web oficial para obtener más información: https://www.oxygen-forensic.com/en/
Fuente de imagen: http://www.dataforensics.org
FireEye RedLine
RedLine fue originalmente el producto de Mandiant organization, más tarde asumido por FireEye. Esta es una herramienta gratuita que se puede usar para realizar análisis de memoria y host para detectar rastros de infección o cualquier actividad maliciosa.
Se puede utilizar para recopilar y correlacionar información sobre los procesos en ejecución, las unidades de memoria, el registro, los metadatos del sistema de archivos, los registros de eventos, el historial web y la actividad de red. Puede preseleccionar los procesos que utilizan la puntuación del índice de riesgo de malware y luego investigarlos más a fondo.
Leer más aquí: https://www.fireeye.com/services/freeware/redline.html
Autopsy
Autopsy es un software forense digital de código abierto, que se utiliza para realizar investigaciones de discos duros. Es utilizado por varias agencias policiales, militares, gubernamentales e investigadores corporativos para llevar a cabo investigaciones digitales. La compañía también proporciona desarrollo personalizado y capacitación para ayudar a los usuarios a aprovechar al máximo la herramienta. Está presente tanto para Windows como para Linux, y también está preinstalado en Kali Linux.
La versión de Windows se puede descargar desde: https://www.autopsy.com/download/
La herramienta está diseñada para facilitar su uso y proporcionar extensibilidad: el usuario puede personalizar la herramienta y puede agregar nuevas funcionalidades creando complementos. Autopsy tiene 3 versiones a partir de ahora y la versión 2 se basa en el Kit Sleuth para realizar análisis de disco.
Más información sobre el kit de detective está disponible en: https://www.sleuthkit.org/autopsy/
Wireshark
Wireshark se utiliza para capturar y analizar el tráfico de red. Esto se hace usando libPcap y WinPcap que capturan los paquetes de red. Los paquetes de red se pueden analizar para detectar actividad maliciosa. La herramienta ofrece la posibilidad de filtrar el tráfico utilizando varios filtros, se realiza en base a protocolos, presencia de cadenas, etc.
La herramienta se puede descargar en: https://www.wireshark.org/download.html
Bloqueador de escritura USB
Como su nombre indica, el bloqueador de escritura USB se utiliza para la investigación forense de unidades de almacenamiento. El máximo que puede analizar es de 2 TB. Es un dispositivo de hardware a diferencia del resto de herramientas que se están discutiendo. Se utiliza para clonar y analizar el almacenamiento, asegurando la autenticidad de los datos.
Lea más sobre el bloqueador de escritura USB en: https://www.cru-inc.com/products/wiebetech/usb_writeblocker/
X-Ways Forensics
X-ways es un producto alemán y tiene muchas características, puede considerarse una herramienta exhaustiva. La herramienta no utiliza muchos recursos en comparación con las funciones que ofrece. Se puede utilizar para: imágenes y análisis de discos, análisis de varios formatos de disco, administración de casos, vista de registro, extracción de metadatos, etc.
Para el conjunto de características completo, consulte: http://www.x-ways.net/forensics/
DumpZilla
Dumpzilla se utiliza para recopilar y analizar información del navegador, incluido el historial del navegador. La herramienta está desarrollada en Python 3.x y está disponible para Windows y Linux. El alcance de la investigación no se limita al historial del navegador, sino que también incluye cookies, configuraciones de proxy, formularios web, marcadores, caché, complementos, contraseñas guardadas, etc.
ExifTool
ExifTool se utiliza para recopilar y analizar información de metadatos de varias imágenes, archivos de audio y PDF. Está disponible en las versiones de línea de comandos y GUI. Simplemente ejecute la aplicación para Windows y arrastre & suelte los archivos que se van a analizar. La lista de formatos de archivo que se pueden analizar con esta herramienta es exhaustiva. La lista completa está disponible en: https://www.sno.phy.queensu.ca/~phil/exiftool/
La herramienta es rápida y de pequeño tamaño en comparación con la funcionalidad proporcionada.
Fuente de imagen: https://hvdwolf.github.io
Binwalk
Binwalk se utiliza para buscar una imagen binaria de archivos incrustados.código exe. La herramienta es capaz de extraer todos los archivos presentes en el firmware para realizar una búsqueda de cadenas. La herramienta es lo suficientemente potente cuando se combina con varias otras herramientas, y es una necesidad en un kit de herramientas para investigadores forenses.
Hashdeep
Hashdeep se utiliza para generar, comparar y realizar auditorías de hash. Otros programas informarán si un hash coincide o se pierde, pero Hashdeep puede proporcionar una vista detallada del panorama general. Puede ayudarnos a identificar archivos coincidentes, archivos perdidos, encontrar colisiones de hash y varios otros atributos de los hash. Mantenga esto con usted, ya que la integridad de los archivos es de suma importancia en estos casos.
Volafox
Volafox se utiliza para el análisis de memoria de MAC OS X. Puede ayudar a encontrar extensiones del núcleo, recopilar información del núcleo, enumerar tareas, Detectar ganchos, enumerar redes, descargar un archivo de la memoria, presentar información de arranque y muchos otros detalles. Esto es imprescindible si el objetivo de la investigación es un MAC OS X.
Chkrootkit
Este programa se utiliza para determinar la presencia de rootkits en un sistema. El programa es capaz de identificar la presencia de más de 60 rootkits. Esto será de gran ayuda en el análisis de infecciones de malware y casos de compromiso de la red. Los nuevos rootkits se escriben para evitar el mecanismo de detección, pero la escritura de rootkits es un arte difícil de dominar.
SIFT
SANS Investigation forensic toolkit es una máquina virtual precargada con las herramientas necesarias para realizar análisis forenses. Es perfecto para principiantes, ya que ahorra tiempo de búsqueda, descarga e instalación de herramientas.
Fuente de imagen: https://www.andreafortuna.org/
CAINE
CAINE es una distribución Linux de código abierto que ha sido desarrollada específicamente para la ciencia forense digital. Tiene una interfaz gráfica y herramientas fáciles de usar. Consulte este enlace para obtener una visión más profunda de CAINE: https://www.caine-live.net/
Fuente de imagen: https://www.caine-live.net/
¿Cómo beneficia a una organización y a un experto en seguridad informática?
Las actividades maliciosas ocurren a diario en las organizaciones. Alguien hizo clic en un enlace malicioso, instaló un software malicioso, visitó sitios web maliciosos o de phishing, etc. Es responsabilidad de los investigadores llegar a la causa raíz del problema y asegurarse de que existan controles para que el incidente no vuelva a ocurrir. Un incidente de malware puede poner de rodillas a la red de una empresa y, por lo tanto, se requiere una investigación. Qué pasa si un empleado renuncia a una empresa o es acusado de un caso de espionaje corporativo. En tales casos, las organizaciones necesitan investigadores para realizar inmersiones digitales profundas, para sacar a la luz la verdad.
Se necesita tiempo y experiencia para convertirse en un experto en Medicina forense. El investigador debe tener un conocimiento crítico sobre el objeto que se está investigando. Cualquier falta en la recopilación o el análisis puede tener un impacto grave en el caso. El experto debe tener sumo cuidado en la identificación, conservación y notificación de las pruebas. Por lo tanto, convertirse en un experto en medicina forense no es fácil, pero no se paga mucho dinero por cosas fáciles. Esta es una habilidad de nicho que requiere la comprensión de cada parte del sistema y cómo usarla como evidencia. También hay cursos especializados en el campo, si uno está interesado. Algunas empresas están ofreciendo capacitación para sus productos que se utilizan en todo el mundo. Uno de los productos es Encase. La compañía ofrece certificación para el investigador forense certificado Encase (también considere revisar este paquete perfecto de información para la certificación cissp).
Conclusión
El artículo contiene algunas de las herramientas forenses populares. Las herramientas no están ordenadas con respecto a la prioridad, ya que sirven para diferentes propósitos. Algunos están diseñados específicamente para análisis de discos duros, otros para investigaciones móviles, etc. En caso de que sea nuevo en la ciencia forense, puede comenzar con herramientas individuales, profundizando en cada una de ellas. También puede comenzar con la máquina virtual prediseñada y distribuciones como CAINE para ahorrar tiempo y obtener más información. Asegúrese de relacionar la información identificada con escenarios del mundo real; por ejemplo, una infección que se propaga a través de un dispositivo de almacenamiento malicioso conectado o una conexión CNC creada en las redes. También puede buscar más herramientas forenses y experimentar. A medida que los criminales avanzan con cada crimen; las empresas están desarrollando herramientas más sofisticadas que pueden acelerar la investigación, si son utilizadas por expertos. El punto a señalar aquí es que, no importa cuán avanzada sea la herramienta, requiere un ojo experto para identificar la lógica y correlacionar los hechos.
Haga clic aquí para impulsar su carrera en ciberseguridad