miércoles, 23 de diciembre de 2015

Windows Security and Forensics (II de VII)

En anteriores artículos hablábamos del primer capitulo del curso Microsoft Virtual Academy: Windows Security and Forensics una introducción a las evidencias digitales, en este segundo capitulo nos centramos en los distintos elementos que podremos encontrar en la memoria de los equipos informáticos.

Windows Memory Attacks and Forensics
Hay infinidad de elementos que podemos encontrar en los dispositivos de almacenamiento de los ordenadores, incluida en la memoria RAM. Algunos de los elementos que los equipos tienen en dispositivos de almacenamientos volátil pueden ser especialmente delicados, sobre todo si accede a ellos personal no autorizado.


En esta imagen podemos ver como hacer un volcado del contenido de un proceso, en este caso el lssas.exe, un archivo especialmente delicado que contiene información muy sensible de un entorno Microsoft. Los ataques a la memoria volátil son muy peligrosos, se pueden encontrar usuarios, contraseñas y todo tipo de información sensible incluidas muchas veces claves para acceder a recursos que de otra forma permanecen cifrados.


En este curso puedes ver como se utiliza mimikatz una herramienta que te facilita el trabajo a la hora de obtener evidencias en diferentes recursos de un equipo, además de automatizar mucho la recolección de información.


Otra herramienta muy interesante es volatility, una de las imprescindibles en el arsenal de cualquier informático forense y muy útil para el manejo de diferentes imágenes con capturas de memoria, etc.

En este curso de @Erdal_Ozkaya y @Alshakarti además de las explicaciones y el uso de estas herramientas, también nos recuerdan componentes sensibles en una infraestructura como las instantáneas de las maquinas virtuales (snapshot) y otros elementos donde podemos obtener datos relevantes, una formación que os recomiendo seguir porque me esta pareciendo muy interesante, Microsoft Virtual Academy: Windows Security and Forensics


Artículos Windows Security and Forensics

Forensics Software
NirSoft: ESEDatabaseView
Microsoft Command-line tool: Esentutl
Sysinternals Suite: Download
 
Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias