Probando la detección de archivos eliminados en Sysmon v11

A finales del mes pasado se liberó la versión 11 de Sysmon. Esta herramienta, parte de la célebre y bien conocida suite de herramientas SysInternals, permite monitorear los sistemas Windows. A medida que Sysmon ha evolucionado, sus autores le han agregado más funcionalidades que permiten identificar las acciones que los atacantes realizan cuando comprometen uno de estos sistemas.

La última capacidad que fue agregada a Sysinternals en la versión 11 es la detección de eliminación de archivos y es que es muy común que los atacantes eliminen los archivos maliciosos después de completar un ataque, como bien sabemos esto corresponde a la fase de borrado de huellas, donde los atacantes tratan de reducir la probabilidad de ser detectados. En este artículo vamos a instalar la versión 11 de Sysmon y probar esta nueva funcionalidad.

En primer lugar, necesitamos un archivo de configuración de Sysmon. Si bien podemos crear nuestro propio archivo de configuración manualmente, esto es un trabajo monumental ya que requiere hacer muchas pruebas e ir agregando excepciones para el software legítima, así como agregar reglas para identificar técnicas de ataque. Por ello, recomiendo utilizar alguno de los archivos de configuración de la comunidad y extenderlo para cubrir nuestras necesidades.

Vamos a utilizar el archivo de configuración del investigador Olaf hartong, modificado hace 5 meses a la fecha de escritura de este artículo. Este archivo es de código abierto y está disponible en su GitHub.

Simplemente descargamos el archivo de configuración y lo instalamos con el comando
Sysmon -i config.xml

Ahora pasaremos a extender el archivo de configuración para habilitar la nueva función de monitoreo de la versión 11, el borrado de archivos, para ello basta agregar las siguientes líneas en el archivo de configuración, con esto se van a auditar todos los eventos de eliminación de archivos en el sistema.

<RuleGroup name="" groupRelation="or">
      <FileDelete onmatch="exclude">
      </FileDelete>
</RuleGroup>

Aplicamos la nueva configuración de Sysmon con la bandera -c.

Abrimos el log de eventos de Sysmon y filtramos por el evento 23, e inmediatamente vemos los eventos de borrado de archivos. Los campos registrados son: Fecha, GUID, Usuario, Imagen del programa, archivo destino (target filename), valores hash, si es ejecutable (booleano) y si está archivado (booleano), este último valor no me queda muy claro aún.

Habilitar el monitoreo de todos los archivos eliminados, generará una importante cantidad de eventos,  es posible también agregar condiciones específicas, por ejemplo auditar sólo los archivos que estén dentro de ciertas carpetas.


Aplicamos el nuevo archivo de configuración. Ahora los únicos eventos registrados de archivos eliminados son lo que están en esa ruta, por ejemplo el siguiente evento muestra que se eliminó el archivo file.txt desde la terminal de comandos cmd. Esta ruta es sólo un ejemplo, generar la configuración apropiada para el evento FileDelete necesitará más pruebas a fin de poder registrar eventos interesantes, manteniendo un buen balance entre cantidad de eventos generados y el valor potencial de estos eventos.

Monitorear archivos eliminados es una capacidad que faltaba en versiones anteriores de Sysmon y que viene muy bien para incrementar la visibilidad de seguridad en los equipos Windows.

Los mejores libros de ciberseguridad

Ser investigador de  ciberseguridad, independientemente de nuestra especialidad, es una tarea que requiere de una preparación continua y sobretodo, pasión. El progreso que tendremos si contamos con estas dos cualidades será más alto que si nos quedamos sólo con lo que vimos en la Universidad o los entrenamientos obligatorios de nuestra empresa. 

Como probablemente saben, soy un promotor de los cursos de SANS Institute ya que son muy didácticos y de gran calidad. Estos cursos tienen un gran enfoque práctico dirigido a las necesidades del día a día. Usualmente en la parte final del curso incluyen un reto CTF en el que puedes probar todas tus habilidades y competir por una hermosa moneda de ganador. La desventaja de estos cursos es su alto costo y es que, sobretodo para los precios de América Latina, resulta difícil para muchas personas reunir el dinero para autofinanciarse este tipo de cursos. Entonces, qué otra alternativa existe para continuar nuestra preparación en estos apasionantes temas?

Además de tomar cursos del SANS o de otras empresas de capacitación a mí también me ha servido leer y aprovechar varios libros de seguridad informática. Si bien, en muchas ocasiones, esto no se puede comparar con un entrenamiento completo en forma, nos servirán para expandir nuestros conocimientos en muchos temas si contamos con la disciplina y constancia suficientes para absorber los contenidos. 

En este artículo voy a recomendar algunos libros de diferentes especialidades de seguridad informática, esperando que también a ustedes les sean de utilidad. Si creen que falta algún libro por mencionar que sea excelente, por favor avísenme para agregarlo a la lista.

REVERSING Y ANÁLISIS DE MALWARE

Malware Analysis, Monnappa

Malware Data Science, Saxe, Sanders

Practical Malware Analysis, Sikorski, Honig

Malware Analyst Cookbook, High, Adair, Harstein, Richard

Reversing: Secrets of Reverse Engineering, Eilam

Practical Reverse Engineering, Dang, Gazet, Bachaalany, Josse

The IDA Pro Book, Eagle (Recomendable para los ya adentrados en reversing)

ANÁLISIS FORENSE DIGITAL Y WINDOWS INTERNALS

Windows Internals 7th edition - Part 1, Yosifovich, Russinovich, Solomon, Ionescu

Windows Internals 7th edition - Part 2 Russinovich, Allievi, Ionescu, Solomon (Preventa disponible)

Malware Forensics - Field Guide for Windows Systems, Malin, Casey, Aquilina

Malware Forensics - Linux Malin, Casey, Aquilina

Windows Registry Forensics, Carvey (algo costoso)

RESPUESTA A INCIDENTES

Incident Response & Computer Forensics, Lutgens, Peppe, Mandia

OS X Incident Response, Bradley

BLUE TEAM
Blue Team Field Manual (BTFM), White, Clark (Excelente precio)

RED TEAM
Read Team Field Manual (RTFM), Clark (Excelente precio)

FORENSE EN MÓVILES

Practical Mobile Forensics, Mahalik, Tamma, Skulkin, Bommisetty  (Muy recomendable también el curso de SANS FOR 585 de la autora Heather Mahalik)

Mobile Forensic Investigations, Reiber

ANÁLISIS DE VOLCADOS DE MEMORIA

The Art of Memory Forensics, Ligh, Case, Levy, Walters

PENTEST, HACKING y PYTHON

Nmap Network Exploration and Security Auditing Cookbook, Calderón  (Del autor mexicano Paulino Calderón, también desarrollador de Nmap)

Hacking the Art of Exploitation, Erickson

Gray Hat Hacking, Harper, Regalado, Linn, Sims, Spasojevic, Martinez, Baucom, Eagle, Harris (Uno de los autores es el researcher mexicano Daniel Regalado)

Violent Python, O´Connor

Gray Hat Python, Seitz

Black Hat Python, Seitz

OSINT Y CTI

Open Source Intelligence Techniques, Bazzell

Psychology of Intelligence Analysis, Heuer (Excelente precio)

Structured Analytical Techniques for Intelligence Analysis, Heuer

CONTEXTO DE LA SEGURIDAD

Future Crimes, Goodman (Excelente precio)

DECEPTION
The Cuckoo´s Egg, Stoll (Viejo pero aún relevante)

ATAQUE Y DEFENSA PASO A PASO
 Counter Hack Reloaded, Skoudis, Liston (Viejo pero aún relevante)

CULTURA HACKER
Ghost in the Wires, Mitnick, Wozniak

The Art of Invisibility, Mitnick

Tribe of Hackers: cybersecurity advise, Carey, Jin

Tribe of Hackers: Red Team, Carey, Jin

Tribe of Hackers: Blue Team, Carey, Jin


Nota: los vínculos a los libros sugeridos se generaron como parte del programa de afiliados de Amazon.