El artículo de hoy lo que pretende mostrar es como si un usuario se encuentra infectado con Flu se puede visualizar el contenido de su papelera de reciclaje, incluso se puede copiar ese fichero y descargarlo a nuestra máquina. Entonces, mejor que la víctima no deje nada en la papelera de reciclaje ya que si no... Flu se encargará de realizarle un forense de su Rifiuti.
En primer lugar muestro el escenario, imaginemos una máquina, por ejemplo un Windows 7 infectado con Flu y otra máquina que hace de servidor intermedio donde se gestionan las órdenes de Flu y se controla las acciones de la máquina infectada. Por ejemplo, un posible panel de configuración de Flu podría ser el siguiente:
Mediante el uso de la shell dirigida a la máquina con IP 192.168.56.101 (por cierto, sabéis que VM se utilizó para llevar a cabo el lab?) abrimos una sesión directa para introducir comandos. El objetivo es trastear en la papelera de reciclaje. Comentar primero que la papelera de reciclaje ha sido modificada en Windows Vista. Por lo que los que conocían el funcionamiento en XP que sepan que es distinto.
El funcionamiento de la papelera de reciclaje
El funcionamiento es sencillo. En el sistema de archivos donde se encuentra el sistema operativo se encuentra una carpeta con el nombre $Recycle.Bin. Esta carpeta representa al área de la papelera de reciclaje. Cada vez que un usuario tiene al menos un archivo en su papelera de reciclaje en la carpeta, por ejemplo, c:\$Recycle.Bin se crea una carpeta con el SID del usuario. En otras palabras si 2 usuarios del sistema tuvieran archivos en su papelera de reciclaje, la carpeta $Recycle.Bin tendría 2 carpetas del estilo S-1-5-21... y el chorro de números. En la imagen se puede observar la orden lanzada por PowerShell en la máquina infectada ls -Force 'c:\$Recycle.Bin', con esta orden se muestra los archivos, tanto ocultos como no, de la papelera de reciclaje. Flu devuelve un directorio cuyo nombre parece el SID de un usuario... ¿Bingo? Si... Tenemos un usuario de la máquina, el cual dispone de archivos en la papelera de reciclaje, ahora toca ver que es...
Dentro de la papelera... Rebuscando
En el interior de la carpeta de cada usuario encontraremos 2 tipos de archivos, los que empiezan por $I y los que empiezan por $R. Los que comienzan por $I contiene la ruta original del archivo y algunos datos propios del fichero, mientras que los que empiezan por $R tienen en el interior el contenido del archivo original. En la siguiente imagen se puede visualizar ambas situaciones.
Si se quiere descargar el archivo de la máquina de la víctima se dispone de comando getfile <ruta fichero>, sin comillas en la ruta del fichero. Hasta aquí el artículo forensic de hoy, esperamos que os haya gustado ver el funcionamiento de la papelera de reciclaje en el ámbito del análisis forense y como Flu puede aprovecharse de este conocimiento para realizar el robo de estos archivos.
todo un arte, el rebuscar en la basura, hace años conoci a un individuo que se pasaba horas y horas recolectando trocitos de archivos de la papelera... por cierto la pass del admin 123abc. me suena?
ResponderEliminarhola, les queria hacer una consulta sobre la carpeta $Recycle.Bin, es que me aparece en siempre en mi disco duro externo, eso si solo la veo cuando estoy con ubuntu, en windows no aparece, lei por ahi que windows hace una copia de seguridad y por eso crea esa carpeta, junto con una que se llama system volumen, ya le pase el antivirus y no arroja nada. agradeceria alguna respuesta, o experiencia parecida de alguien mas
ResponderEliminarmauricio: hola, les queria hacer una consulta sobre la carpeta $Recycle.Bin, es que me aparece en siempre en mi disco duro externo, eso si solo la veo cuando estoy con ubuntu, No la ves en Windows porque es una carpeta protegida del sistema, para verla necesitas en las propiedades de carpetas desactivar la casilla de "Ocultar archivos protegidos del sistema".No son maliciosas ninguna de las carpetas, como comentas, $Recycle.Bin es utilizada por Windows cuando eliminas algún archivo, éste en realidad se almacena en esa carpeta y System volume information almacena los puntos de restauración del sistema.Un saludo mauricio
ResponderEliminar