Sin tiempo que perder: cómo Windows 10 Timeline puede ayudar a los expertos forenses

Hola, hoy queria compartir con ustedes esta nota que es una traduccion de la original, pero que me parecio super interesante. La original la pueden encontrar aca: No Time to Waste: How Windows 10 Timeline Can Help Forensic Experts

La nota es sobre seguridad y sobre las tools para hacer analisis forence que tenemos disponibles en Windows 10. Espero les sea de utilidad e interes. Saludos. Roberto Di Lello.

—-

www.radians.com.ar

Los expertos forenses a menudo usan varias herramientas de línea de tiempo para reconstruir eventos que han tenido lugar en la computadora de un usuario durante un incidente de ciberseguridad o ataque de virus. Una línea de tiempo suele ser un archivo o tabla grande con información ordenada cronológicamente sobre tales eventos.
El procesamiento de portadores de datos para preparar una línea de tiempo (por ejemplo, usando Plaso) es un proceso largo. Es por eso que la comunidad forense digital estaba entusiasmada con la nueva línea de tiempo en Windows 10.

Con la actualización de abril de 2018, Windows 10 introdujo una nueva característica llamada Windows 10 Timeline, o simplemente Timeline. Muestra la actividad del usuario y permite volver rápidamente a documentos, programas, videos, imágenes y sitios web abiertos anteriormente. Windows 10 Timeline se inicia haciendo clic en el siguiente icono:

www.radians.com.ar

Al hacerlo, se mostrarán las miniaturas de los programas, documentos y sitios web que se abrieron recientemente o no recientemente:

www.radians.com.ar

Los investigadores han identificado dos problemas relacionados con la nueva característica:

  1. Algunas aplicaciones no se muestran en la línea de tiempo, incluso si se han abierto recientemente.
  2. Algunos datos de la línea de tiempo (datos anteriores) se envían a Microsoft Cloud.

Esto significa que la información obtenida a través del análisis de artefactos de la línea de tiempo de Windows 10 difiere del tipo de líneas de tiempo a las que están acostumbrados los expertos forenses; los últimos contienen información más completa sobre los eventos que tienen lugar en una computadora determinada.

La línea de tiempo de Windows 10 no debe confundirse con las líneas de tiempo creadas con utilidades forenses. Por ejemplo, Autopsy, Belkasoft Evidence Center y AXIOM crean líneas de tiempo que contienen mucha más información sobre la actividad del usuario que la Línea de tiempo de Windows 10.

Windows 10 Timeline se puede activar abriendo Configuración, yendo a Privacidad> Historial de actividad y marcando las siguientes casillas:

  • Permitir que Windows recopile mis actividades de esta PC
  • Permitir que Windows sincronice mis actividades desde esta PC a la nube

www.radians.com.ar

Ubicación de los artefactos forenses de la línea de tiempo de Windows 10

El catálogo Usuarios \% nombre de perfil% \ AppData \ Local \ ConnectedDevicesPlatform \ contiene un archivo CDP con información sobre la última sincronización de la línea de tiempo de Windows 10 con la nube ( CNCNotificationUriLastSynced ) y sobre el ID de usuario ( 0b5569b899437c21 en la imagen a continuación).
Tipo de catálogo:

www.radians.com.ar

La información de actividad del usuario en la línea de tiempo de Windows 10 se guarda en el archivo ActivitiesCache.db con la ruta \ Users \% profile name% \ AppData \ Local \ ConnectedDevicesPlatform \ L.% profile name% \ .
ActivitiesCache.db

ActivitiesCache.db es una base de datos SQLite (versión 3). Como cualquier base de datos SQLite, tiene dos archivos auxiliares: ActivitiesCache.db-shm y ActivitiesCache.db-wal .

www.radians.com.ar

La información adicional sobre los registros eliminados puede estar contenida en el espacio no utilizado, las listas gratuitas y el archivo WAL.

Windows 10 Timeline anatomy

ActivitiesCache.db contiene las siguientes tablas: Activity , Activity_PackageId , ActivityAssetCache , ActivityOperation , AppSettings , ManualSequence y Metadata . Los que tienen más interés para los investigadores son Activity_PackageId y Activity .

Tabla Activity_PackageId:

www.radians.com.ar

La tabla Activity_PackageId contiene registros para aplicaciones, incluidas las rutas para archivos ejecutables (por ejemplo, c: \ programdata \ firefly studios \ stronghold kingdoms \ 2.0.32.1 \ strongholdkingdoms.exe ), nombres de archivos ejecutables y tiempos de vencimiento para estos registros. Los valores ubicados en la columna Tiempo de caducidad se almacenan en formato Hora de época.

Los registros en la tabla Activity_PackageId se almacenan durante 30 días y pueden contener información sobre archivos ejecutables o documentos que ya no están presentes en el disco duro.
Tabla de actividades:

www.radians.com.ar

a tabla de actividad tiene los siguientes campos: Id , AppId , PackageIdHash , AppActivityId , ActivityType , ActivityStatus , ParentActivityId , Tag , Group , MatchId , LastModifiedTime , ExpirationTime , Payload , Priority , IsLocalOnly , PlatformDeviceId , CreatedInCloud , StartTime , EndTodActiv , EndTod , EndTod , EndTime ClipboardPayload , EnterpriseId , OriginalLastModifiedOnClient y ETag .

Contiene hasta cinco campos para etiquetas de tiempo: LastModifiedTime , ExpirationTime , StartTime , EndTime y LastModifiedOnClient (este campo puede estar vacío y se completa si el usuario modifica el archivo relacionado con esa entrada de tabla en particular).

Las rutas a los archivos ejecutables también se pueden encontrar en esta tabla: F: \\ NirSoft \\ x64 \\ USBDeview.exe .
En su artículo Cronología de Windows 10 – Revisión inicial de artefactos forenses , Gary Hunter (pr3cur50r) enfatiza que los valores de las etiquetas de tiempo para los archivos eliminados no cambian. En cuanto a los documentos modificados, los volúmenes de etiquetas de tiempo no cambian instantáneamente, sino en 24 horas.

Cómo investigar la línea de tiempo de Windows 10

La forma más fácil es mirar los datos contenidos en ActivitiesCache.db usando un visor SQLite, por ejemplo, DB Browser for SQLite, que es una herramienta gratuita.

www.radians.com.ar

Al cambiar las tablas en la pestaña Examinar datos, es posible ver su contenido y registrar información que puede ser de interés para una investigación.

La segunda utilidad que recomendamos es WxTCmd (analizador de la base de datos de Windows 10 Timeline), que se inicia desde el intérprete de línea de comandos.

www.radians.com.ar

El resultado es un archivo CSV que contiene resultados de análisis de archivos para ActivitiesCache.db .

www.radians.com.ar

La tercera herramienta que recomendamos es AXIOM by Magnet Forensics. Para analizar el artefacto, vaya a la sección Seleccionar artefactos para incluir en el caso :

www.radians.com.ar

Los resultados del análisis se pueden ver en Magnet AXIOM Examiner. Resultados de la extracción de datos de ActivitiesCache.db por AXIOM:

www.radians.com.ar

La cuarta utilidad que recomendamos para analizar dichos archivos es Belkasoft Evidence Center de Belkasoft. Una vez que haya agregado una fuente de datos (un disco duro, una unidad lógica, una carpeta o un archivo), seleccione Línea de tiempo de Windows en Archivos del sistema en la ventana Agregar fuente de datos .

www.radians.com.ar

Una vez que haya completado el proceso de extracción de datos, la categoría de línea de tiempo de Windows se mostrará en Descripción general . Los resultados de extracción de datos de ActivitiesCache.db se mostrarán allí. Aspecto de los resultados de extracción de datos:

www.radians.com.ar

Uso de la línea de tiempo de Windows 10 en informática forense

Los datos contenidos en Windows 10 Timeline se pueden usar para problemas relacionados con la respuesta a incidentes y las infracciones de datos. Como ejemplo, a continuación se muestra un fragmento de datos de ActivitiesCache.db de una computadora atacada por piratas informáticos:

www.radians.com.ar

Como se puede ver en la captura de pantalla, los atacantes instalaron TeamViewer (un archivo de un sitio web para compartir archivos llamado openspace.com) y Mimikatz en la computadora de la víctima. Un análisis de los eventos almacenados en la línea de tiempo de Windows 10 indica que los atacantes abrieron los registros de TeamViewer ( TeamViewer14_Logfile.log ) a través del Bloc de notas ( notepad.exe ). Es posible que hayan hecho esto para eliminar o modificar la información del archivo.

A continuación hay otro ejemplo. Se lanzaron archivos muy inusuales en la computadora, lo que significa que alguien pudo haber intentado recopilar información sobre el usuario.

www.radians.com.ar

Windows 10 Timeline, la nueva categoría de artefactos de Windows 10, ayuda significativamente a los investigadores a reconstruir eventos que han tenido lugar en una computadora en particular en los últimos 30 días. Además, Windows 10 Timeline puede proporcionar información adicional sobre los archivos que se han iniciado en la computadora, incluso si se han eliminado, lo cual es particularmente importante cuando se trata de respuestas a incidentes y violaciones de datos.

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.