Wintriage: La herramienta para el DFIRer en Windows

Los artículos de los viernes, habitualmente los dedicamos a POCs, vulnerabilidades, experimentos o novedades fruto del trabajo de investigación de los miembros de nuestra organización o de personas muy allegadas a nosotros (quizá seamos un poco exagerados seleccionando amigos pero, qué le vamos a hacer, así somos). En este caso hemos querido dar difusión a una herramienta que por su utilidad y por ser gratuita, nos ha parecido de interés para la comunidad. Pedimos a Lorenzo Martínez (@lawwait) de securizame.com que nos contase un poco sobre la herramienta en cuestión.

DFIR son las siglas de Digital Forensics Incident Response, o traducido, la aplicación de técnicas de análisis forense digital aplicadas a incidentes de seguridad. Cuando un DFIRer (entiéndase este término como por el profesional que se dedica a lidiar con este tipo de situaciones) ha identificado desde qué sistema o sistemas hay que extraer ciertas evidencias digitales para analizar posteriormente, la primera fase es la de adquisición o recolección de éstas.

Cada sistema operativo guarda o registra información vital para su uso o con fines de auditoría posterior, en diferentes y variadas ubicaciones. Además, un mismo sistema operativo, dependiendo de su versión, así como la evolución de este, puede generar más o menos elementos cuya finalidad inicial puede ser para generar una buena experiencia de usuario, mejorar el rendimiento global o compartir con el fabricante ciertos datos que permitan identificar un potencial fallo o incluso invadirnos con publicidad adecuada a la actividad del usuario. Esta información, en el contexto de un incidente de seguridad, puede ser de gran ayuda con fines forenses. 

En un sistema, las evidencias a extraer pueden clasificarse (a criterio de quien suscribe) como “de sistema”, “de usuario” o “de sistema de ficheros”. Al final, lo que llamamos artefactos forenses pueden archivos, el resultado de la ejecución de un comando de sistema o el de la interacción con el propio sistema a través de otra herramienta, entre otros.

El objetivo es extraer toda la información posible de un sistema (si no podemos acotar en algún punto en concreto lo que estamos buscando) o aquellos elementos cuya posterior explotación y análisis nos pueda aportar una conclusión sobre lo que ha pasado o está pasando.

Hoy me centraré en la fase de adquisición de evidencias. Aunque hay multitud de herramientas, tanto libres como comerciales, para poder llevar a cabo la recolección automatizada de evidencias en sistemas Windows, cierto es que muchas de ellas no son todo lo completas que a nosotros nos gustaría. En un incidente se piden dos cosas: eficacia y rapidez. La suma de ambas es la eficiencia. Sacar información de más de un sistema da lugar a una merma de la rapidez en la extracción; extraer de menos, conlleva que haya que volver al mismo a por aquello que falta. Observamos que las herramientas que hemos utilizado a lo largo de muchos años no cumplían de una forma óptima estos dos principios. Varias de ellas extraen información complementaria entre sí, pero incluso juntando resultados de la ejecución de varias de ellas, hemos vivido incontables situaciones en las que hemos tenido que volver al equipo víctima a por otros elementos.

Wintriage by Securízame

La experiencia en Securízame de participar en multitud de incidentes fue lo que nos motivó para desarrollar Wintriage. Con el foco puesto en extraer cuantos más artefactos forenses útiles mejor, pero también el dotar al analista de la libertad sobre qué extraer o qué dejar de llevarse, elaboramos una herramienta para nuestro uso profesional.

wintriage securizame.com sh3llcon.org

Wintriage sigue filosofía UNIX. Es un orquestador que llama a otras herramientas que funcionan bien haciendo acciones simples y atómicas, de manera que si algo funciona no se reinventa la rueda, sino que se reutiliza y se encauza en un engranaje bien engrasado. En Securízame somos profesionales en informática forense y peritaje, por lo que somos conscientes conocedores que el procedimiento a seguir ha de ser lo más impecable posible. Wintriage no instala NADA en un sistema, alterando las evidencias de este en lo mínimo imprescindible para su extracción. La herramienta respeta el orden de volatilidad de las mismas, llevándose una copia de lo que más “se mancha”, incluso con el propio procedimiento de extracción, cuanto antes.

No todos los Windows son iguales, ni guardan la misma información, ni lo hacen en el mismo sitio. En nuestro día a día nos toca lidiar con incidentes en organizaciones cuyos sistemas Windows aún siguen siendo versiones XP o 2003 Server de 32 bits, así como otras con los más modernos Windows 10 y/o 2019, y en servidores tanto con ventanas como core.

Wintriage soporta el funcionamiento en sistemas de 32/64 bits, desde Windows XP/2003 hasta Windows 10/2019, tanto en una ejecución gráfica como en modo línea de comandos.

¿Qué se lleva Wintriage?

Wintriage llama a herramientas que extraen una imagen de memoria, ficheros de registro de Windows, eventos de sistema, Prefetch, ficheros Setupapi, información de directorio activo (si el sistema tiene el rol de controlador de dominio), así como Alternate Data Streams, listados de todos los ficheros, de aquellos que tengan el atributo de oculto, Papeleras de reciclaje, $MFT, $Logfile y $journal de todos los sistemas de ficheros NTFS existentes en la máquina, entre otros muchos artefactos. Ejecuta comandos en el sistema víctima que permiten identificar si hay algún sistema de ficheros montado actualmente, cuyo volumen se encuentre cifrado con Bitlocker, Truecrypt o Veracrypt. Esto es de gran utilidad antes de tirar del cable y hacer una imagen forense de un sistema de ficheros, cuyo análisis será un quebradero de cabeza si no se dispone de la clave de descifrado.

Además, se lleva extensa información específica de cada usuario: registro, ficheros recientes, jumplist, shellbags, soporte de hasta 6 navegadores distintos, etc… cuyo análisis permite identificar la actividad de quien sea necesario de la forma más completa posible.

Todo esto lo puede extraer, tanto del estado actual del sistema, como del que este tuviera en el momento en que se llevaron a cabo cualquiera de las Shadow Copies que puedan existir en el mismo.

Por defecto se lleva todo lo nombrado, pero por supuesto, Wintriage deja a elección del DFIRer, qué elementos extraer.

wintriage securizame.com sh3llcon.org

Quiero Wintriage ¿Me vendéis una licencia?

Pues no, no te la vendemos: ¡te la regalamos! Wintriage fue desarrollada para nuestro uso profesional. Sin embargo, si no hubieran existido otras herramientas libres que llevasen a cabo estas acciones, no habríamos determinado que no eran todo lo completas que nos gustaría para nuestras investigaciones y no habríamos creado Wintriage. Y por eso queremos que esta sea de uso público y que quien así lo desee pueda descargarla y usarla, tanto con finalidad académica como en investigaciones profesionales.

El punto principal de descarga de Wintriage es: https://cursos.securizame.com/extra/Wintriage.7z.

Todas las actualizaciones y detalles sobre la misma las puedes obtener desde el blog de Securízame, realizando la búsqueda por la palabra Wintriage. https://www.securizame.com/?s=wintriage

Wintriage hace uso de otras herramientas gratuitas, por lo que no hay nada que pagar tampoco por ellas. No obstante, muchas de ellas tienen licencias que no permiten ser distribuidas con otras herramientas, por lo que descargando Wintriage aún deberás satisfacer la descarga de otros binarios auxiliares desde su sitio web original, en las versiones que se indican en el fichero de ayuda (Leeme_primero_anda.txt) adjunto a la descarga.

En Securízame intentamos hacer las cosas bien, pero seguro que no conseguimos que sean perfectas. Por tanto, si algo no funciona como se espera o si crees que Wintriage podría mejorar, haciendo alguna otra acción o extrayendo algún otro elemento, quedamos a tu entera disposición en contacto@securizame.com para que nos reportes aquello que consideres y hagamos de Wintriage una herramienta útil, completa y con menos fallos, para todo el mundo.

Forensic 4:Cast Awards

En el mundo forense hay una cita anual importante, y son los premios Forensic 4:cast que se conceden a investigadores, empresas o herramientas que, por su relevancia, la comunidad les premia el reconocimiento y su trabajo.

Este año, Wintriage está nominada en la categoría “Best DFIR Non-Commercial Tool”. Si consideras que el trabajo que hemos realizado en esta herramienta es merecedor de dicho reconocimiento, puedes votar por Wintriage en dicha categoría. A nosotros, nos hará muchísima ilusión recibir dicho premio, y estaríamos aún más agradecidos a la comunidad entusiasta en DFIR.

Si te decides a votar por Wintriage en la categoría “Best DFIR Non-Commercial Tool” debes hacerlo antes del 14 de este mes de mayo, para ello sólo has de ir a https://bit.ly/wintriage y te enlazará al formulario correspondiente. Aunque no es imprescindible hacerlo, si lo deseas puedes aprovechar a votar en otras categorías, según consideres oportuno.

wintriage securizame.com sh3llcon.org

Firmado: Lorenzo Martínez (@lawwait)

Sh3llCON no se hace responsable de las opiniones vertidas por sus colaboradores ni por las actuaciones que, fruto del conocimiento transmitido, puedan realizar terceras personas.

La imagen de cabecera se ha compuesto con 4 fotos cortesía de Pixabay

https://pixabay.com/es/vectors/cuchillo-cuchillo-suizo-herramienta-32934/
https://pixabay.com/es/photos/codificaci%C3%B3n-equipo-hacker-hacking-1841550/
https://pixabay.com/es/photos/trabajo-escritorio-equipo-noche-933061/