web analytics

WinTriage: La herramienta de Triage para el «DFIRer» en Windows

Hasta 2019, en los múltiples diferentes incidentes en los que teníamos que hacer una adquisición de evidencias en Windows, en modo Live Response, hacíamos uso de herramientas como Windows Live Response de Brimor Labs o IRTriage. Ambas extraen diversa información de forma rápida, que posteriormente nos llevamos a una máquina de análisis en la que, con otras herramientas, destripamos las evidencias para poder entender el incidente. Sin embargo, en muchos casos, veíamos que lo que extraíamos con una de estas herramientas no era suficiente. Si usábamos la otra, también notábamos carencias. Al final terminábamos utilizando FTK Imager Lite para seleccionar evidencias manualmente, creando una imagen AD1 que analizaríamos posteriormente en otra máquina para poder dar respuesta al caso.

Por estos motivos llevaba ya tiempo dándole vueltas a la cabeza a cómo modificar alguna de las herramientas existentes para poder hacer la extracción de forma que fuese más completa y óptima. Tras analizar las posibilidades con el código de las herramientas existentes, en agosto de 2019, decidí que lo que tenía que hacer era una herramienta nueva, a la carta de nuestras necesidades. No me compliqué mucho con el nombre: WinTriage.

Tenía varias ideas en mente: Quería que fuese una herramienta compatible con múltiples versiones de Windows, desde lo más actual hasta lo más antiguo que pudiese; que extrajese lo común y lo no común que hacía IRTriage y Windows Live Response, cubriendo aquello que en mi opinión ninguna de las dos hace de la mejor manera posible, así como la extracción de diversos artifacts de sistema operativo y de usuario que ninguna contemplaba; tenía que ocupar poco espacio en memoria; y tenía que ser lo más fiable posible para evitar dejar en la estacada al “DFIRer” (profesional que se dedica a hacer DFIR) con un entorno comprometido.

Tras múltiples tests en entornos de prueba, la mejor forma de probarla era en fuego real, así que la hemos utilizado en varios incidentes, así como en las formaciones y entrenamientos 100% prácticos en DFIR que impartimos en Securízame.

Finalmente, el 6 de marzo 2020 tuve la oportunidad de presentar la última versión de la herramienta en el Congreso de Seguridad RootedCON. Como indiqué a lo largo de la charla, la herramienta sería liberada (junto a la presentación) en el blog de Securízame. Sé que dije que lo haría en un menor intervalo de tiempo, pero la situación del cambio de vida que nos ha supuesto el COVID19 a todo el planeta, me ha retrasado el momento.

Como comenté en la charla, la herramienta tal cual la vas a descargar, no funcionará. Requiere de la existencia de otras, en el directorio «Tools». Muchas de estas herramientas accesorias tienen una licencia que no permite su distribución directa, sino que hay que descargarla directamente desde el sitio original. No me voy a poner a buscar cuáles sí y cuáles no, por lo que partí desde un punto en el que todas requieren ser descargadas desde la web de su creador. En el fichero «Leeme_primero_anda.txt» se explica de dónde descargarlas y cómo ha de quedar. En la presentación que podéis descargar en PDF desde este enlace, también se ven los nombres de fichero y estructura final del directorio «Tools».

Descarga Wintriage.7z en este enlace

SHA-256: 1014dff8674a78724a8f1de376366b2239d2cf7240219be3de34b3c6e11ce371

Como está hecha en AutoIt es posible que tu anti-malware lo detecte como «bicho». Esto también pasa con  herramientas de Nirsoft e incluso con Rawcopy (una de los programas accesorios que también son necesarios para su uso). Por esto te recomiendo que cuando te toque usarla en fuego real, desactives el anti-malware de la máquina durante unos minutos, antes de conectar el pendrive o disco USB donde tengas las herramientas, y luego establezcas una excepción al anti-malware para dicha unidad.

Licencia de uso: Puedes usar esta herramienta para tus fines particulares y profesionales. La única condición que pongo es que no la revendas como si fuera tuya, que para eso yo te la regalo. Si te ha ido bien, la próxima vez que me veas, házmelo saber. Si quieres dejarnos algún comentario/sugerencia/reporte de bug/idea para implementar, hazlo en el correo contacto@securizame.com o en nuestro formulario de contacto.