on

Nueva versión de ad-Quiere (v0.9)

Desde hoy mismo, es posible descargarse la distribución forense que, junto con Aedel, venimos desarrollando desde https://www.blueliv.com/ad-Quiere/ad-Quiere_i386_v0.9.iso y su correspondiente checksum en https://www.blueliv.com/ad-Quiere/checksum_v0.9.txt

La lista de cambios introducidos son:

  • Se ha añadido Volatility, pasa a formar parte de la colección de herramientas.
  • Se ha añadido el menú “Forensics” para tener acceso a las herramientas forenses.
  • Se han agrupado por categorías, dichas herramientas.
  • Se ha reducido la dimensión del sistema, quitando paquetes innecesarios.
  • Se puede arrancar el ad-Quiere en dos idiomas (Inglés y Español).
  • Se ha actualizado el sistema operativo.
  • Se ha añadido Wireshark para el estudio de la red y la visualización de las capturas.
  • Se puede virtualizar la adquisición realizada, para poder arrancar un sistema para su estudio.
  • Se ha añadido OpenVPN y “reverssh” para establecer túneles.

Análisis forense de memoria

Con la incorporación de la Volatility, se añade la posibilidad de analizar desde un punto de vista forense, los volcados de memoria en busca de evidencias. La herramienta, modular y extensible, dispone de un conjunto de utilidades para obtener:

  • Procesos en ejecución en el momento de la adquisición
  • Sockets abiertos
  • Información del árbol VDA
  • Handles abiertos
  • Volcado de memoria de un proceso
  • Información sobre diferentes estructuras del kernel en memoria
  • Lista de bibliotecas dinámicas (DLL) cargadas

Estas son algunas de las posibilidades de Volatility, una herramienta en constante evolución debido a los cambios de las estructuras en las que se basa para hacer su trabajo. En un futuro, se irán añadiendo módulos de terceros para complementarla, así como otras herramientas de adquisición de sistemas vivos, tanto en linux como en otros sistemas operativos. Mientras tanto, NIST dispone de unas imágenes de varios sistemas para probar la herramienta y familiarizarse con ella. Su descarga está disponbie desde este enlace:

Además, el proyecto Honeynet le dedicó un reto forense dónde se puede ver el uso intensivo de Volatility en un caso de intrusión.

Adquisiciones remotas

El tiempo es un factor clave a la hora de hacer una adquisición, cuanto más tiempo pasa más probabilidades hay de que las evidencias se degraden, o desaparezcan. Por tanto, para reducir el tiempo de respuesta, se ha añadido la posibilidad de establecer túneles remotos afín de que el analista forense pueda iniciar la adquisición. Se ha incluido en  la distribución Openvpn por su sencillez y la capacidad de ser usado en entornos con proxy. Además, también hemos escrito un sencillo wizard que permite establecer un túnel inverso con SSH (Reverssh). Para más información sobre este tipo de adquisiciones, os remitimos a uno de nuestros artículos previo.

Virtualización

Con qemu-img y qemu, será posible convertir entre formatos de máquinas virtuales y arrancarlos respectivamente. Así, después de la adquisición, podremos ver el sistema funcionando en vivo. Pero arrojará al analista forense un visión más certera del evento a analizar.

Proyecto colaborativo

Por otra parte, nos gustaría reseñar que tenemos una dirección de correo para recibir sugerencias: adquiere@blueliv.com. Además podéis postear vuestras sugerencias en los comentarios del blog para incorporar ideas o sugernecias a próximas versiones.

Saludos,

Demo Free Trial MSSP
Program