• Análisis Forense
  • artifacts
  • dfir
  • evidencias
  • Forensics
  • Triage

    • Wintriage: herramienta de triage para Windows

    enero 20, 2023 Jesús Angosto

     Llevaba un tiempo pendiente de publicar esta entrada, pero siempre pasa lo mismo, hay que buscar el momento de parar un poco y escribir un artículo (es lo que más me cuesta :| )


    Vamos a partir del concepto de que, y hablando en términos forense:

    Si el equipo está encendido NO se apaga y si está apagado NO se enciente.

    Cuando tenemos que afrontar la adquisición de evidencias para nuestro análisis, hemos de tener muy claro qué llevarnos. Existen distintas herramientas para hacer Triage a sistemas Windows, muy buenas todo hay que decirlo, pero muchas de ellas no extraen todos esos artifacts que necesitamos, aquí es donde Wintriage, herramienta desarrollada por Lorenzo Martínez @lawwait CEO de Securizame destaca, extrayendo aquellos elementos que otras herramientas no hacen y además, ofrece la posibilidad de parametrizar exactamente qué te quieres llevar y puedes especificar si el sistema está vivo (encendido) o trabajamos sobre una imagen de disco montada. (Obviamente, en esa opción, no podremos adquirir la ram).

    Vale, muy bien, pero.... ¿Cómo funciona?

    Partimos de la base que el autor de la herramienta es analista forense y formador de futuros analistas forenses y la certificación IRCP que tiene Securizame es muy buena y muy dura, eso si, aprendes muchísimo, así que ha hecho una herramienta a medida para los que hacemos DFIR, es decir, buscando todos aquellos Artifacts que necesitamos en nuestras investigaciones.

    Para ello y una vez descargada la herramienta y la tengamos descomprimida, es MUY importante que hagamos énfasis al documento "Leeme_primero_anda.txt", ya que si no lo hacemos tal cuál indica el autor, la herramienta no nos funcionará.


    Hay que seguir las indicaciones al pie de la letra y al final, en el directorio "Tools" tendremos esto:

    ¿Y por qué no están las tools integradas?

    Seguro que te estás haciendo esa pregunta y yo mismo se la he formulado a Lorenzo, fácil, por el licenciamiento que lleva cada una de ellas, pero..... OYE!!!! que sólo tienes que realizar unas pocas descargas que además Lorenzo nos indica cuáles son! Es poco trabajo para la gran funcionalidad de la herramienta, así que....

    Funcionalidad

    La aplicación está hecha con AutoIT (si no sabes lo que es, ya tienes una tarea pendiente :) ) así que muchos motores de AV la detectan como maliciosa, ya que AutoIT se ha usado, y se usa, para determinadas familias de malware, pero este no es el caso (espero jejejejej). Dicho esto, y la propia herramienta te lo indica en la ejecución, tienes que deshabilitar el AV de tu sistema, de lo contrario no te funcionará de forma correcta.


    La interfaz es muy sencilla:


    Como se puede apreciar, nada más arrancar, nos indica si estamos sobre un sistema vivo o sistema Offline, en ambos casos, funciona muy bien.

    Si estamos con un sistema OffLine, al seleccionarlo se nos mostrará un desplegable a la derecha indicando que seleccionemos el disco del que queremos extraer "cosas":


    Lo siguiente que podemos comentar es la selección de Módulos los cuales queremos que WinTriage ejecute durante la adquisición, y que va a usar todas esas tools que previamente hemos descargado.


    No me voy a poner a describir todos y cada uno de los módulos que compone la herramienta, dado que si has llegado aquí y estás leyendo este post es porque o bien te interesa la informática forense o te dedicas a ella, así que sabrás lo que hace cada módulo.

    Lo que si considero opciones muy interesantes es el módulo de MFT ya que no solo se trae la $MFT sino que también se trae el Journal y el LogFile:


    Y otro módulo interesante de mencionar es el de Info de usuarios ya que te deja seleccionar de qué usuarios quieres hacer la extracción (de los que existan en el sistema, claro está), si no seleccionamos nada, por defecto, se lo traerá todos.

    Una vez tengamos nuestros módulos seleccionados, podemos indicar el destino de la extracción, para ello sólo tenemos que presionar sobre el botón DESTINO (complicado eh? :P )

    Una vez tengamos todo parametrizado y con los módulos seleccionados, solo tenemos que pulsar sobre el botón de TRIAGE y, en la ventanita negra que se nos abre detrás al inciar WinTriage, empezaremos a ver comandos correr, eso si, no la toques, que cuando termine te aparecerá una ventana indicando que ha terminado con un mensajito, que a mi personalmente, me mola bastante.

    Finalizada la ejecución, tendréis, en el directorio indicado, una estructura de directorios como la siguiente:


    Y la información contenida en cada uno de ellos dependerá de los módulos que hayáis seleccionado en la adquisición.

    Cabe destacar que, además, nos permite certificar la adquisición con eGarante, qué más se puede pedir :)

    Tan solo me queda añadir que, prácticamente, desde que Lorenzo publicó la herramienta la uso casi a diario y he de deciros que, para mi gusto, funciona muy muy bien, y he podido probarla en muchos sistemas, desde un Windows 7 hasta un Windows Server 2022,  nunca he tenido pegas con ella.

    Si no conocías la herramienta espero que este post te ayude y tengas otra herramienta de Triage en tu arsenal, y si la conocías y tenías dudas de su funcionalidad, yo te animo a probarla desde mi experiencia.

    Desde aquí, sólo me queda dar las gracias a Lorenzo Martínez y a todo el equipo de Securizame por crear esta herramienta para la comunidad de DFIR, y a esperar la nueva release que seguro están trabajando en ella :)

    Así que ya sabes si quieres una herramienta funcional para tus triages, no dudes en descargarla de aqui 





    You May Also Like

    Publicar un comentario

    0 Comentarios

    © Copyright , DFIR Spain DFIR Spain - Digital Forensics and Incident Response