DFIR on Adrián Lois

Active Directory: auditar cambios en cuentas de usuario (ID de eventos)

Sun, 09 Feb 2020 10:19:00 +0000

Para poder auditar la creación y cambios de cuentas de usuarios de Active Directory debemos establecer esta política a nivel de dominio en la plantilla Default Domain Controllers Policy situada en Objetos de directiva de grupo.

La editamos y configuramos:

Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría

Habilitamos “Auditar la administración de cuentas” en intentos Correcto y Error.

Gestión y recuperación de credenciales almacenadas en Windows

Fri, 12 Oct 2018 10:57:00 +0000

Siguiente artículo relacionado:

Credenciales almacenadas en caché en RDP: Comportamiento por defecto, riesgos de seguridad y mitigación

Existen varias formas de poder visualizar las credenciales dominio\usuario y password de los recursos de red almacenados, servicios de RDP entre otro tipo de credenciales almacenadas de Windows.

Para que este almacenamiento sea posible debemos tener habilitado y en ejecución (por defecto ya suele estarlo) el servicio de “Administrador de credenciales” (VaultSvc) que proporciona el almacenamiento seguro y recuperación de credenciales de usuarios.

Ver passwords Wi-Fi almacenadas en Windows (netsh wlan)

Wed, 11 Jul 2018 19:30:00 +0000

Cada vez que desde nuestro equipo Windows nos conectamos a una red inalámbrica WiFi y recordamos la password de identificación de la red, esta se almacena en el sistema.

Con el uso de la utilidad de comandos netsh (en la sección de wlan) podemos visualizar las redes que tenemos almacenadas y también la password de acceso que en su momento le indicáramos para autenticarnos en dicha red.

Visualizar los nombres de las redes almacenadas por Windows en el equipo.

Shadow Explorer: recuperar información de instantáneas (VSS)

Sun, 13 Mar 2016 23:36:00 +0000

Shadow Explorer es una herramienta gratuita en la cual podemos recuperar información a través de instantáneas creadas en el tiempo gracias a la habilitación de protección del sistema de Windows.

Nos permitirá seleccionar determinadas fechas (en las que se establecieron las instantáneas) recuperar información de ficheros/directorios en puntos del sistema. Simplemente seleccionamos la unidad, la fecha y buscamos el directorio a examinar para recuperar dichos datos y con el botón derecho los restauraremos en su ubicación original donde habían sido borrados.

Eliminar la caché de equipos en conexiones RDP

Wed, 26 Aug 2015 10:00:00 +0000

Si hemos realizado conexiones por Terminal Services (escritorio remoto) veremos que estas guardan o quedan cacheadas en el panel de conexión por escritorio remoto.

La caché guarda temporalmente los datos recientemente procesados de modo que la siguiente vez que nos queramos conectar a otro equipo lo tengamos más cómodo a la hora de introducir los datos necesarios.

Registro de Windows desde CLI: estructura y jerarquía (regedit)

Tue, 07 Jul 2015 23:42:00 +0000

Dejo una estupenda guía muy detallada y extensa de “© Fernando Reyes López” es ya de 2005, pero al tratarse de una guía que habla sobre el registro de Windows y su interacción en consola no varía prácticamente nada en su uso hasta la fecha actual.

Debido a que no es una guía mía y es muy extensa mejor dejo el enlace directo a la propia web del autor:

http://freyes.svetlian.com/registro/registro.htm

Guía detallada de la estructura jerárquica del registro de Windows (regedit).

PeStudio: analizar ejecutables .exe y .dll en busca de malware

Tue, 30 Dec 2014 11:04:00 +0000

PeStudio es un software gratuito si se destina a uso personal, el que nos permitirá ver y/o analizar ficheros .exe y librerías dinámicas .dll, entre otros ficheros.

En estos análisis nos muestra diversos aspectos de un fichero en los cuales podemos investigar para saber qué acciones realiza dicho fichero cuando lo ejecutamos, de este modo, podremos saber si se trata de un malware y en ese caso mirar qué acciones podría llevar a cabo.

WER (Windows Error Reporting): logs de crashes y bloqueos

Fri, 26 Dec 2014 12:27:00 +0000

En ocasiones ocurren inesperados crashes en aplicaciones o procesos del sistema que provocan a su vez comportamientos anómalos (cuelgues/congelados) en software de terceros.

Errores habituales del tipo: “explorer.exe dejó de responder”, “iexplorer.exe dejó de funcionar”, “ocurrió un error inesperado con outlook.exe, dejó de funcionar”, etc.

Para este tipo de casos y poder generar un log en el que podamos analizar por qué dicha aplicación se quedó bloqueada, es necesario habilitar el servicio Windows Error Reporting (WER) en los servicios de Windows, por defecto suele estar habilitado.

USBDeview y GhostBuster: información de dispositivos USB en Windows

Tue, 02 Sep 2014 12:25:00 +0000

USBDeview es una pequeña aplicación de nirsoft.net que nos muestra información muy detallada de los dispositivos USB conectados actuales o que en un pasado estuvieron conectados en un equipo.

Figura 1: Analizando dispositivos USB USBDeview.

Este tipo de información nos puede ser útil para análisis forenses mostrándonos información de dispositivos conectados en un pasado.

Aprovecho para comentar que la rama del registro de Windows donde podremos ver el ID y demás información de cada dispositivo USB conectado.

Analizar la carpeta Prefetch de Windows (ficheros .pf)

Sun, 09 Feb 2014 10:00:00 +0000

La carpeta Prefetch de Windows ubicada en el path C:\Windows\Prefetch, según Microsoft Windows, define esta carpeta de la siguiente manera.

“Cada vez que se enciende el equipo, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren habitualmente. Windows guarda esta información en una serie de pequeños archivos (de extensión .pf) en la carpeta Prefetch. La próxima vez que encienda el equipo, Windows recurrirá a estos archivos para acelerar el proceso de inicio.”

Descifrar msgstore.db.crypt de WhatsApp

Mon, 25 Nov 2013 13:45:00 +0000

En sus comienzos, Whatsapp guardaba los ficheros de bases de datos donde se almacenaban las conversaciones que tenemos con el resto de nuestros contactos, en formato SQLite sin cifrar. Es decir, que simplemente con cargarlo en SQLite se podría ver las conversaciones, teléfonos y demás, en texto plano. De modo que en caso de pérdida o robo del terminal nos podrían ver las conversaciones de forma muy sencilla.

Hace ya casi año y medio que Whatsapp debido a la inseguridad en estos ficheros y por protección de privacidad para los usuarios; Whatsapp lanzó una actualización en la que corrige este “descuido” encriptando dichos ficheros, dificultando así la simple visualización en plaintext de las conversaciones realizadas.

Reconstruir sistemas de ficheros FAT/FAT32/NTFS con TestDisk (rebuild & recovery)

Sun, 07 Jul 2013 14:14:00 +0000

Hace tiempo quería escribir esta entrada con respuesta a muchos comentarios que tuve en este otro artículo: Reparar tarjetas de memoria SD dañadas. Muchos decían que en sus PCs no reconocían las tarjetas de memoria, esto podría ser causa de que al corromperse dichas tarjetas pierden su sistema de ficheros ya sea FAT/FAT32 o NTFS.

Por eso a muchos usuarios cuando conectaban las tarjetas a su equipo Windows decía algo como: “La unidad no tiene formato, ¿desea formatearla ahora?”. Esto es lo que debemos evitar, nunca formateemos algo que queremos recuperar. Ya que lo que estaríamos haciendo sería sobrescribir los datos ya almacenados por espacios lógicos con valor “0” en el espacio de almacenamiento del dispositivo en cuestión, ya sean tarjetas de memoria, pendrives USB, HDDs externos, etc.

Escanear conexiones TCP/UDP de procesos del sistema

Sat, 25 Feb 2012 08:30:00 +0000

Para poder evitar ataques que consisten en el uso de puertos TCP o UDP para obtener información confidencial o simplemente para controlar la PC a través de algún malware de monitorización (como puede ser un troyano).

CloseTheDoor es una herramienta gratuita y OpenSource que nos muestra todos los puertos TCP y UDP abiertos del sistema, así como los procesos y aplicaciones que están conectados a ellos.

GhostBuster: analizar y eliminar dispositivos USB en Windows

Thu, 27 Jan 2011 18:10:00 +0000

GhostBuster es una herramienta que detecta y elimina dispositivos conectados en un pasado y también los actuales.

Figura 1: Analizando dispositivos USB conectados en un pasado con GhostBuster.

Aquellos dispositivos que se conectaron y se autoinstalaron en Windows. Ya sean actuales o en un pasado. Esta herramienta resulta útil en análisis forenses y ver la marca, nombre, identificadores, drivers, etc. que han estado conectados en un computador.