Red Seguridad 090

red seguridad tercer trimestre 2020 61 Cómo utilizar Volatility Volatility funciona en varios entornos: Windows, Linux y MacOS. Una vez instalado, para empezar a utilizar esta herramienta, lo primero que necesi- tamos es una imagen de la memoria RAM de un dispositivo compatible. Esta parte no la cubriremos en este artículo, pero existen distintas herra- mientas open source que nos pue- den ayudar en esta tarea. Una vez tengamos el fichero con la imagen de memoria, tendremos que obtener lo que Volatility llama el "perfil de la imagen de memoria". Este perfil ayuda a la herramienta a saber dónde se ubican en la memoria las estruc- turas de datos de las que posterior- mente extraeremos la información. La opción "imageinfo" es la que nos ayudará a identificar el perfil de la imagen de memoria (ver imagen 1). En este caso, la aplicación nos sugiere varios perfiles que podrían ser aplicables: Win2003SP0x86, Win2003SP1x86, etc. Una vez deter- minado el perfil que utilizaremos para el análisis, ya podemos comenzar a extraer información. Ejecutando "vol.py" con la opción "--info" nos mostrará todas las posi- bilidades de la herramienta. Para analistas más avanzados, existe la opción de utilizar la opción "volshell", con la que podremos interactuar directamente sobre el espacio de memoria contenido en el fichero. Una de las primeras opciones que se suelen utilizar es "pslist", con la que obtenemos un listado de proce- sos en ejecución en el momento de la captura de la imagen de memoria (ver imagen 2). Con la opción "sockets" obtendre- mos un listado de las conexiones de red del sistema, con información de dirección IP destino, puerto y pro- tocolo de comunicaciones utilizado. Esto nos puede ayudar a identificar posibles puertos a la escucha abier- tos por software malicioso o cone- xiones realizadas por atacantes (ver imagen 3). Una vez identificado el proceso sospechoso, con "procdump" pode- mos extraer de memoria la ima- gen de dicho ejecutable y analizarlo para determinar qué acciones realiza sobre el sistema. Qué beneficios aporta Volatility De cara a una investigación, la capa- cidad de contar con la memoria volátil del dispositivo en el momento en el que se está desarrollando el incidente (aunque no siempre es posible obtenerla) nos proporcio- na muchas ventajas a la hora de determinar con éxito sus causas y su alcance. Volatility es una de las mejores herramientas que se pueden utilizar en este caso. Es una herramienta extensible, lo que nos permite crear complemen- tos e implementar funcionalidades que cubran nuestras necesidades específicas. Es multiplataforma, por lo que puede ejecutarse en máquinas con sistema operativo Windows, Linux o Mac OS. También es multiplataforma en lo referente al tipo de imágenes de memoria que puede analizar (Windows, Linux o MacOS). Con ella podemos analizar varios formatos de datos, desde memoria RAM, archivos de paginación de Windows (pagefil.sys) o el fichero de memoria cuando hibernamos el portátil (hiberfil.sys). Otros de los artefactos de memo- ria que podemos analizar son: Obtener la línea temporal de arte- factos creados en memoria. Extraer la MFT ( Master File Table ) para realizar una línea temporal de los ficheros del sistema. Visualizar, listar y extraer las claves de registro del sistema Windows. Identificar procesos sospechosos. forense monográfico La memoria RAM es uno de los lugares donde podemos encontrar mayor cantidad de artefactos que nos serán de gran utilidad durante la respuesta a un incidente o en el análisis posterior Figura 2.