🕵🏼 ¿Anti-Forense?

Hola Amigos.

En el mundo de la ciberseguridad, existe una guerra silenciosa de la que pocos hablan abiertamente: las técnicas anti-forenses, mientras que un analista convencional confía en que el sistema operativo le contará la verdad, un atacante de élite sabe que la realidad es maleable.

El problema actual es que el 90% de los investigadores fallan porque asumen que los artefactos del sistema son íntegros, no consideran que están frente a un adversario que conoce las reglas del juego y sabe cómo romperlas para volverse invisible.

Timestomping

Una de las técnicas más efectivas para desorientar a un perito es el Timestomping. Consiste en la modificación deliberada de los metadatos de tiempo de un archivo (creación, acceso, modificación).

Cuando un analista construye una línea de tiempo para entender qué archivos fueron alterados durante una intrusión, confía en estos valores, sin embargo, un atacante puede "clonar" las marcas de tiempo de un archivo legítimo del sistema y aplicarlas a su malware. Si el analista no sabe comparar la información de los atributos estándar con los índices de la Master File Table (MFT) en sistemas NTFS, pasará por alto la evidencia crítica, creyendo que el archivo malicioso ha estado ahí desde que se instaló el sistema operativo.

Borrado de Event Logs

El primer instinto de un atacante tras lograr persistencia es "limpiar la casa", el borrado selectivo o total de los Event Logs de Windows es una técnica clásica pero letalmente efectiva.

Muchos investigadores llegan a la escena y, al no encontrar registros de intentos de acceso fallidos o ejecuciones de comandos sospechosos, concluyen que no hubo actividad. Un experto, en cambio, sabe que la ausencia de logs es, en sí misma, una evidencia de compromiso, un perito de élite no se detiene ante un registro vacío; busca rastros de la herramienta utilizada para el borrado en la memoria RAM o analiza fragmentos de registros borrados que aún permanecen en los sectores no asignados del disco duro.

¿Por qué ser un experto en Anti-Forense?

Existe la idea errónea de que las técnicas anti-forenses son exclusivas de los "chicos malos". La realidad es que un hacker ético o un consultor de seguridad NO puede considerarse un experto si no domina estas tácticas.

Para proteger una infraestructura, debes saber cómo un atacante intentará engañarte, si no conoces el arte de borrar huellas, nunca sabrás qué controles implementar para evitar que el rastro desaparezca, la diferencia entre un técnico que sigue un manual y un Perito Forense de élite radica en la capacidad de este último para anticipar el engaño y encontrar la verdad donde otros solo ven un sistema limpio.

La informática forense moderna no se trata de recolectar datos, sino de detectar anomalías en la realidad digital. El analista que no comprende el anti-forense está condenado a ser engañado por la propia herramienta que intenta investigar.

Si quieres dar el salto y aprender a investigar con la mentalidad de quien sabe ocultar sus rastros, te invitamos a una capacitación intensiva.

Regístrate en nuestro curso gratuito PERITAJE E INFORMÁTICA FORENSE CSI, que se realizará el 7 y 8 de abril a las 7:00 PM GMT-5.

Es momento de que aprendas a ver lo que los demás pasan por alto, INSCRÍBETE haciendo clic en el siguiente botón.

Nos vemos en una próxima
Saludos
Equipo Hacker Mentor