Los atacantes suelen ser astutos y intentan dejar la menor cantidad de evidencia posible en los sistemas víctimas para evitar ser detectados. Sin embargo, los equipos de seguridad a menudo pueden determinar cómo se ejecutaron los ataques e incluso identificar a los responsables detrás de ellos.
Imagina a un grupo de investigando la desaparición de una valiosa caja de joyas en una cabaña en medio de un bosque nevado. Observan que la puerta de madera está severamente dañada, el techo está colapsado, hay huellas en el camino de nieve que conduce a la cabaña, y descubran cámaras de seguridad de casas cercanas. Al integrar todas estas pistas, la policía logra identificar al responsable del robo. En casos similares, los investigadores buscan activamente diferentes pistas y, al combinarlas, pueden acercarse al culpable.
Estas pistas desempeñan un papel crucial en las investigaciones. Pero, ¿qué sucede cuando ocurren eventos en sistemas digitales? ¿Dónde encontramos todas estas pistas para una investigación posterior?
Existen numerosos lugares en un sistema donde se pueden extraer pistas de ataques. Los registros (logs) contendrán la mayoría de estas pistas. Los registros son huellas digitales dejadas por cualquier actividad, ya sea normal o maliciosa. Mediante el análisis de registros, podemos rastrear actividades e identificar a quienes las realizaron.
Casos de Uso de los Registros
Los registros son fundamentales en varias áreas clave:
| Caso de Uso | Descripción |
|---|---|
| Monitoreo de Eventos de Seguridad | Los registros ayudan a detectar comportamientos anómalos mediante monitoreo en tiempo real |
| Investigación de Incidentes y Forenses | Proporcionan detalles detallados durante eventos de seguridad, permitiendo análisis de causas raíz |
| Solución de Problemas | Registra errores en sistemas o aplicaciones, ayudando a diagnosticar y solucionar problemas |
| Monitoreo de Rendimiento | Ofrece información valiosa sobre el rendimiento de las aplicaciones |
| Auditoría y Cumplimiento | Facilita el seguimiento de diferentes tipos de actividades para requisitos de cumplimiento |
Este artículo te ayudará a entender los diversos tipos de registros mantenidos en diferentes sistemas. Además, analizaremos registros de incidentes reales como evidencia de diferentes ataques.
Objetivos de Aprendizaje
Al completar este artículo, comprenderás:
- Los diferentes tipos de registros
- Cómo analizar registros
- Análisis de registros de eventos de Windows
- Análisis de registros de acceso web
Pregunta
¿Dónde podemos encontrar la mayoría de las pistas de ataque en sistemas digitales?
Respuesta: Registros (Logs)
Tipos de Registros
Como vimos en la sección anterior, los registros tienen múltiples casos de uso. Sin embargo, al investigar problemas a través de registros, podrías sentirte abrumado por la gran cantidad de eventos diferentes.
La solución es clasificar los registros según el tipo de información que proporcionan, permitiéndote enfocarte solo en los registros específicos relacionados con el problema.
Por ejemplo, si deseas investigar actividades de inicio de sesión exitosas en un sistema Windows durante un período específico, no necesitas revisar todos los registros, solo los Registros de Seguridad (Security Logs). Existen otros tipos de registros para investigar diferentes eventos:
| Tipo de Registro | Uso | Ejemplos |
|---|---|---|
| Registros del Sistema | Ayudan a solucionar problemas en el sistema operativo | Eventos de inicio/apagado, carga de controladores, errores del sistema, eventos de hardware |
| Registros de Seguridad | Detectan e investigan eventos de seguridad | Eventos de autenticación, autorización, cambios en políticas de seguridad, cambios en cuentas de usuario |
| Registros de Aplicaciones | Contienen eventos específicos de aplicaciones | Eventos de interacción del usuario, cambios en aplicaciones, actualizaciones, errores de aplicaciones |
| Registros de Auditoría | Proporcionan detalles sobre cambios del sistema y eventos del usuario | Eventos de acceso a datos, cambios en el sistema, actividad del usuario, aplicación de políticas |
| Registros de Red | Informan sobre tráfico de red entrante y saliente | Traffic de red entrantte/saliente, registros de conexiones, registros de firewall |
| Registros de Acceso | Detallan el acceso a diferentes recursos | Registros de acceso a webserver, bases de datos, aplicaciones, API |
Nota: Dependiendo de las aplicaciones y servicios que ofrezcan, pueden existir otros tipos de registros.
Preguntas
¿Qué tipo de registro contiene información sobre el tráfico entrante y saliente de la red?
Respuesta: Registros de Red (Network Logs)
¿Qué tipo de registro contiene eventos de autenticación y autorización?
Respuesta: Registros de Seguridad (Security Logs)
Análisis de Registros de Eventos de Windows
Al igual que otros sistemas operativos, Windows registra numerosas actividades en archivos de registro separados, cada uno con su categoría específica. Algunos tipos importantes de registros en Windows incluyen:
- Registros de Aplicaciones: Información relacionada con aplicaciones que se ejecutan en el sistema, incluyendo errores, advertencias y problemas de compatibilidad.
- Registros del Sistema: Información sobre operaciones del sistema operativo, como problemas de controladores, hardware, inicio/apagado del sistema y servicios.
- Registros de Seguridad: El archivo de registro más importante desde una perspectiva de seguridad, registrando todas las actividades relacionadas con la seguridad, como autenticación de usuarios, cambios en cuentas de usuario y cambios en políticas de seguridad.
A diferencia de otros archivos de registro que no tienen aplicaciones integradas para visualizarlos, Windows incluye el Visor de Eventos (Event Viewer), una utilidad que proporciona una interfaz gráfica para ver y buscar en estos registros.
Para abrir el Visor de Eventos, haz clic en el botón "Inicio" de Windows y busca "Event Viewer". La siguiente imagen muestra la interfaz:
Al hacer clic en "Registros de Windows" en la sección resaltada, puedes ver los diferentes tipos de registros que discutimos al principio de esta sección.
Al hacer doble clic en uno de los registros, puedes ver su contenido. Un registro de eventos de Windows tiene diferentes campos, entre los cuales los principales son:
- Descripción: Contiene detalles sobre la actividad.
- Nombre del Registro: Indica el nombre del archivo de registro.
- Registrado: Indica la hora de la actividad.
- ID de Evento: Identificador único de una actividad específica.
Existen muchos ID de evento disponibles en los registros de eventos de Windows. Estos pueden usarse para buscar actividades específicas. Por ejemplo, el ID de evento 4624 identifica inicios de sesión exitosos.
| ID de Evento | Descripción |
|---|---|
| 4624 | Una cuenta de usuario inició sesión correctamente |
| 4625 | Un intento de inicio de sesión de una cuenta de usuario falló |
| 4634 | Una cuenta de usuario cerró sesión correctamente |
| 4720 | Se creó una cuenta de usuario |
| 4724 | Se intentó restablecer la contraseña de una cuenta |
| 4722 | Se habilitó una cuenta de usuario |
| 4725 | Se deshabilitó una cuenta de usuario |
| 4726 | Se eliminó una cuenta de usuario |
El Visor de Eventos permite buscar registros relacionados con ID de evento específicos mediante su función "Filtrar Registro Actual". Al hacer clic en esta opción, puedes aplicar filtros para encontrar eventos específicos.
Ejercicio Práctico
Escenario: Una organización importante informa haber sido víctima de un ataque cibernético. La investigación revela que datos clave del servidor de archivos de la organización han sido robados. El equipo de seguridad ha identificado el nombre de usuario y la dirección IP del sistema infectado que tenía acceso al servidor de archivos objetivo durante el ataque.
Tu tarea: Encontrar la actividad del atacante en el sistema infectado antes de que accediera al servidor de archivos.
Usa las credenciales proporcionadas para acceder a la máquina virtual:
- Usuario:
Administrator - Contraseña:
logs@123 - IP:
DIRECCIÓN_IP_DE_LA_MÁQUINA
Preguntas
¿Cuál es el nombre de la última cuenta de usuario creada en este sistema?
Consejo: Busca en el Visor de Eventos el ID de evento 4720 (relacionado con la creación de cuentas de usuario) en los registros de seguridad.
Respuesta: hacked
¿Qué cuenta de usuario creó la cuenta anterior? Consulta la sección "Asunto" en los detalles del registro de creación de cuenta de usuario.
Respuesta: Administrator
¿En qué fecha se habilitó esta cuenta (la última creada)? Formato de fecha: mes/día/año (M/D/YYYY).
Consejo: Busca en el Visor de Eventos el ID de evento 4722 (relacionado con la habilitación de cuentas de usuario).
Respuesta: 6/7/2024
¿Se intentó restablecer la contraseña de esta cuenta? Formato: sí/no, Yes/No.
Consejo: Busca en el Visor de Eventos el ID de evento 4724 (relacionado con intentos de restablecimiento de contraseña).
Respuesta: Yes
Análisis de Registros de Acceso a Servidores Web
Interactuamos con numerosos sitios web a diario. A veces solo navegamos, otras veces iniciamos sesión o cargamos archivos en campos disponibles. Todas estas acciones son diferentes tipos de solicitudes que podemos hacer a un sitio web. Todas estas solicitudes se registran y almacenan en archivos de registro en el servidor web que aloja el sitio.
Estos archivos de registro contienen todas las solicitudes realizadas al sitio web, junto con información sobre el rango de tiempo, la IP solicitante, el tipo de solicitud y la URL. Los siguientes campos son de un ejemplo de archivo de registro de acceso de servidor web Apache ubicado en: /var/log/apache2/access.log.
- Dirección IP: "172.16.0.1" - Dirección IP del usuario que realiza la solicitud.
- Marca de tiempo: "[06/Jun/2024:13:58:44]" - Hora en que se realiza la solicitud al sitio web.
- Solicitud: Detalles sobre la solicitud.
- Método HTTP: "GET" - Indica qué acción se debe realizar con la solicitud.
- URL: "/" - Recurso solicitado.
- Código de Estado: "200" - Respuesta del servidor, donde diferentes números indican diferentes resultados.
- Agente de Usuario: Información sobre el sistema operativo, navegador, etc., del usuario que realiza la solicitud.
Puedes usar utilidades de línea de comandos en sistemas Linux para realizar análisis manuales de registros. Aquí hay algunos comandos útiles:
cat es una utilidad común para mostrar el contenido de archivos de texto. Se puede usar para mostrar el contenido de archivos de registro, que generalmente se almacenan en formato de texto:
root@kali$ cat registros_acceso.log
172.16.0.1 - - [06/Jun/2024:13:58:44] "GET /productos HTTP/1.1" 404 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
10.0.0.1 - - [06/Jun/2024:13:57:44] "GET / HTTP/1.1" 404 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
192.168.1.1 - - [06/Jun/2024:13:56:44] "GET /acerca HTTP/1.1" 500 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
La mayoría de los sistemas rotan los registros periódicamente. Esta rotación ayuda a crear archivos de registro separados para períodos específicos, en lugar de guardar toda la información en un solo archivo. A veces, es necesario combinar dos archivos de registro. En este caso, la utilidad cat también puede ser útil:
root@kali$ cat registros_acceso1.log registros_acceso2.log > registros_combinados.log
grep es una utilidad de línea de comandos muy útil que permite buscar cadenas y patrones en un archivo de registro. Por ejemplo, para buscar una dirección IP específica:
root@kali$ grep "192.168.1.1" registros_acceso.log
192.168.1.1 - - [06/Jun/2024:13:56:44] "GET /acerca HTTP/1.1" 500 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
192.168.1.1 - - [06/Jun/2024:13:53:44] "GET /productos HTTP/1.1" 404 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
192.168.1.1 - - [06/Jun/2024:13:46:44] "GET /acerca HTTP/1.1" 200 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
less es útil para manejar múltiples archivos de registro. Permite ver bloques específicos de contenido uno por uno:
root@kali$ less registros_acceso.log
172.16.0.1 - - [06/Jun/2024:13:52:44] "GET /productos HTTP/1.1" 404 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
10.0.0.1 - - [06/Jun/2024:13:48:44] "GET /acerca HTTP/1.1" 404 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
192.168.1.1 - - [06/Jun/2024:13:46:44] "GET /acerca HTTP/1.1" 200 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"
:
Usa la barra espaciadora para pasar a la siguiente página, 'b' para volver a la página anterior. Para buscar contenido, usa '/' seguido del patrón de búsqueda y presiona Enter. Usa 'n' para ir al siguiente resultado de búsqueda y 'N' para ir al anterior.
Ejercicio Práctico
Para este ejercicio, puedes descargar el archivo de ejemplo de registro de acceso desde la plataforma o acceder a través del AttackBox en el directorio /root/Rooms/registros.
Preguntas
¿Cuál es la IP relacionada con la última solicitud GET a la URL "/contact"?
Consejo: Analiza el archivo de registro de ejemplo.
#grep "contact" registros_acceso.log
grep "GET /contact" registros_acceso.log
Respuesta: 10.0.0.1
¿Cuándo se realizó la última solicitud POST desde la IP "172.16.0.1"?
Consejo: Analiza el archivo de registro de ejemplo.
grep "172\.16\.0\.1" registros_acceso.log | grep "POST"
Respuesta: 06/Jun/2024:13:55:44
¿A qué URL se dirigió esta solicitud POST?
Consejo: Revisa la salida del terminal relacionada con la pregunta anterior.
Respuesta: /contact