1 59 Table of Contents 61 84

Red Seguridad 090

La importancia de la memoria RAM en un análisis forense H oy en día , ante cualquier incidente relacionado con la seguridad infor- mática, se suelen utilizar en mayor o menor medida técnicas de análisis forense, bien para recopilar eviden- cias de las acciones realizadas por el atacante, bien para recuperar indi- cadores de compromiso con el fin de contener y bloquear la amenaza o para ambas cosas. La memoria RAM es uno de los lugares donde podemos encontrar mayor cantidad de artefactos que nos serán de gran utilidad durante la respuesta a un incidente o en el análisis posterior. Podemos encon- trar los procesos en ejecución con sus estructuras de datos que nos aportan muchos y valiosos detalles: puertos de comunicaciones abiertos en el sistema, claves de cifrado que se escriben en la memoria durante la ejecución de los programas que las utilizan, etc. Ya sean programas legítimos o maliciosos, todos pasan por la memoria durante su ejecución. La intención de este artículo es dar unas pequeñas pinceladas sobre una herramienta utilizada en el ámbito del análisis forense por la mayoría de los equipos a nivel internacional y una de las principales herramientas que utili- zamos en Sothis cuando realizamos análisis forenses. ¿Qué es Volatility? La primera versión de Volatility se presentó públicamente en la BlackHat DC de 2007. El software estaba basado en años de investi- gación académica publicada sobre análisis forense y análisis avanzado de memoria. En aquel momento en que las investigaciones forenses de los inci- dentes se centraban en el análisis de los datos obtenidos de los discos duros, Volatility les facilitó nuevas herramientas para examinar el alma- cenamiento volátil (RAM) de las com- putadoras. Escrito en Python, se concibió como un framework extensible para ayudar a los investigadores en aná- lisis de memoria, y desde hace años es un referente en este campo. Hoy en día, el desarrollo de Volatility lo gestiona una fundación independien- te y sin ánimo de lucro llamada The Volatility Foundation, creada para pro- mocionar su uso dentro de la comuni- dad de analistas forenses y para que continúe siendo una herramienta libre y de código abierto. 60 red seguridad tercer trimestre 2020 Miguel Monedero Director de Seguridad de la Información de Sothis opinión forense monográfico Figura 1: vol.py -f memdump.bin imageinfo

RkJQdWJsaXNoZXIy ODM4MTc1