Autopsy


Realizado por Sergio Ortiz Tamajón

En el mundo del análisis forense disponemos de un amplio catálogo de herramientas para la adquisición de evidencias y análisis de las mismas.
En este artículo vamos a conocer un poco acerca de Autopsy, una plataforma open source disponible en sistemas Windows, Linux y Mac dedicada al análisis automático y personalizado de todo tipo de fuentes de datos.

Antes de analizar datos en Autopsy necesitamos crear un caso. Cada caso puede contener una o más fuentes de datos (imágenes de disco, dispositivos de disco, ficheros lógicos, etc). Estas fuentes de datos pueden proceder de un sólo dispositivo o de varios.
Cuando creamos un caso se crea un directorio asociado a él, este directorio contendrá los archivos de configuración, la base de datos, los logs que se realicen y otros archivos que se generarán para el caso.




Módulos de ingesta

Cuando añadimos una fuente de datos a un caso, podremos elegir qué módulos de ingesta queremos utilizar para esa fuente.
Los módulos de ingesta elegidos serán los encargados de analizar los datos, realizar los análisis de los archivos y parsear los contenidos.
Una vez configurados, los módulos se ejecutarán en segundo plano e irán mostrando los resultados en tiempo real según vayan encontrando información relevante.

Podemos destacar cuatro módulos a modo de ejemplo para comprender el trabajo que realizan:


– Recent activity:
Permite ver la actividad sucedida en los últimos 7 días de uso en el equipo (sitios web visitados, qué hizo la máquina o a dónde se conectó, etc).

– Email parser:
Identifica y extrae emails basándose en las firmas de los archivos.

– File type identification:
Identifica archivos basándose en sus firmas internas y no en extensiones.

– Extension mismatch detector:
Utiliza los resultados del módulo File type identification y marca los archivos que tienen una extensión que no es habitual para su tipo de archivo.





Autopsy en un caso de uso

Vamos a resolver un sencillo juego de tipo CTF (Capture the flag) que nos propone, a partir de una imagen de disco, analizarla mediante Autopsy y encontrar todas las “flags” para resolverlo con éxito.

Tras crear un nuevo caso en Autopsy utilizando la imagen de disco como fuente de datos y seleccionando los módulos de ingesta que queremos utilizar, procedemos a realizar el análisis de los resultados.

El CTF nos propone encontrar las imágenes ocultas en el disco.

Si nos fijamos en la clasificación por tipos de archivos, observamos que Autopsy ha localizado siete archivos de imagen, tres archivos comprimidos que contienen una imagen jpg cada uno y dos archivos que no tienen la extensión que deberían, así como dos archivos borrados.




Hay que tener en cuenta que algunos de estos archivos podrían ser el mismo y contener la misma flag, o incluso ser pistas falsas, vamos a verlos en detalle.

Podemos ver los archivos con extensión jpg.


Por ejemplo, file1.jpg se trata de una imagen auténtica, al igual que file10.jpg, file8.jpg, file9.jpg y image_0.jpg.


file1.jpg


file10.jpg


file8.jpg


file9.jpg


image_0.jpg

Sin embargo, file3.jpg y file4.jpg son archivos de texto con extensión jpg que tratan de engañarnos.



Vamos a fijarnos ahora en los archivos comprimidos.



Si los abrimos utilizando la herramienta correcta en cada caso, desvelamos las imágenes que contienen. Observamos que eran las imágenes que habíamos obtenido previamente desde el módulo File Types, que había detectado las imágenes en el interior de los archivos.


file8.jpg después de descomprimir

En la sección de documentos de Office encontramos file12.doc, se trata de un documento de texto que contiene image_0.jpg, que encontramos anteriormente.


image_0.jpg escondida en su documento de texto

En los archivos .dll encontramos file13.dll:here, Autopsy nos indica mediante el icono amarillo que contiene resultados importantes para nuestra búsqueda.



Si lo abrimos, vemos como se trata de otra imagen.


file13.dll:here


En Extension Mismatch Detected encontramos dos archivos más,  el .dll lo hemos visto anteriormente, pero podemos observar file2.dat que también contiene una imagen.


file2.dat

En los archivos borrados encontramos dos imágenes más.



file6.jpg


file7.hmm

Para acceder a la página de descarga del CTF con toda la información para realizarlo haz clic aquí

Mediante la resolución de este CTF podemos comprender la potencia y capacidad que tiene Autopsy para desarrollar trabajos de análisis forense de forma profesional.

Entradas relacionadas