M05: Seguretat Informàtica · Unitat 4

Anti-Forense i Neteja
L'Art de ser Invisible

Eliminant les petjades digitals i trencant el timeline forense

TEORIA · L'ART DE SER INVISIBLE

SECCIÓ 6: Tècniques Anti-Forense i Neteja de Traces

L'última etapa d'una auditoria ofensiva o d'un atac real és l'eliminació de les petjades digitals. L'objectiu és dificultar la resposta a incidents (Incident Response) i confondre els analistes forenses perquè no puguin determinar el "com", el "quan" i el "qui".

Anàlisi Forense
Tècnica: Investigació de petjades digitals images/teoriam05/passwords_search.png
Llegir investigació: Windows Forensics — HackTricks

🔑 El concepte d'Anti-Forense

No es tracta només d'esborrar fitxers, sinó de manipular les metadades i interrompre la generació de nous registres per trencar la línia temporal (Timeline) de l'atac.

6.1 Timestomping: Manipulació del Temps

Consisteix a falsificar les dates de creació, accés i modificació dels fitxers (atributs MACB).

Atributs MACB

  • M (Modified): Últim canvi de contingut.
  • A (Accessed): Última lectura.
  • C (Changed): Últim canvi de metadades.
  • B (Born): Data de creació original.

L'Engany

Copiar dates d'un fitxer legítim (kernel32.dll) i aplicar-les al malware per semblar que existeix des de fa anys.

La discrepància forense: Windows guarda el temps a $STANDARD_INFORMATION (fàcil de modificar) i $FILE_NAME (difícil). Els forenses busquen diferències entre ambdós per detectar l'engany.

🧹 6.2 Esborrat de Registres (Logs)

L'atacant busca buidar els Windows Event Logs (.evtx) abans d'abandonar el sistema.

L'eina wevtutil

Utilitat nativa per gestionar esdeveniments:

wevtutil cl system (Sistema) wevtutil cl security (Seguretat) wevtutil cl application (Aplicacions)

Alternativa PowerShell

Clear-EventLog -LogName Security
🚩

El Cigne Negre Forense: Event ID 1102

Buidar els logs és extremadament "sorollós". Quan s'executa un esborrat, Windows genera un últim esdeveniment: l'Event ID 1102 ("The audit log was cleared"). Un log buit amb aquest ID és la prova irrefutable d'una intrusió: El crit del silenci.

🕵️ 6.3 Tècniques de Sigil Avançat (AuditPol)

Aturar la generació de logs en lloc d'esborrar-los evita la gènesi de l'Event 1102.

AuditPol.exe

Permet modificar les polítiques d'auditoria en viu per fer que el sistema "deixi de mirar":

auditpol /set /category:"Logon/Logoff" /success:disable
Tècnica Visibilitat SOC Eficàcia Forense
Esborrar fitxers Baixa Mitjana (recuperable)
Buidar Logs Molt Alta Alta
Timestomping Nul·la Mitjana (MFT)
Desactivar Auditories Baixa Molt Alta
💡

Info Callout: El factor Sysmon

Eines com Sysmon guarden còpies dels logs i registren la creació de processos de forma molt més detallada, fent que l'esborrat amb wevtutil sigui sovint insuficient si no es té en compte.

🗂️ Resum de la Unitat Final

Objectiu

Romandre indetectat i eliminar proves.

Mètodes

Timestomping, wevtutil, AuditPol.

Lliçó

La manca d'evidència és una evidència en si mateixa (ID 1102).

FI DEL MÒDUL 5 · UNITAT 4