La rifiuti o basura en italiano es un punto dónde se debe buscar en el ámbito forense. En otras palabras, si el usuario no ha eliminado los archivos de la papelera de reciclaje se pueden recuperar de manera muy sencilla y más si estás infectado con un troyano como Flu. Obviamente, si se eliminan de la papelera, mientras no se sobreescriba esa información se podría recuperar.
El artículo de hoy lo que pretende mostrar es como si un usuario se encuentra infectado con Flu se puede visualizar el contenido de su papelera de reciclaje, incluso se puede copiar ese fichero y descargarlo a nuestra máquina. Entonces, mejor que la víctima no deje nada en la papelera de reciclaje ya que si no... Flu se encargará de realizarle un forense de su Rifiuti.
En primer lugar muestro el escenario, imaginemos una máquina, por ejemplo un Windows 7 infectado con Flu y otra máquina que hace de servidor intermedio donde se gestionan las órdenes de Flu y se controla las acciones de la máquina infectada. Por ejemplo, un posible panel de configuración de Flu podría ser el siguiente:
Mediante el uso de la shell dirigida a la máquina con IP 192.168.56.101 (por cierto, sabéis que VM se utilizó para llevar a cabo el lab?) abrimos una sesión directa para introducir comandos. El objetivo es trastear en la papelera de reciclaje. Comentar primero que la papelera de reciclaje ha sido modificada en Windows Vista. Por lo que los que conocían el funcionamiento en XP que sepan que es distinto.
El funcionamiento de la papelera de reciclaje
El funcionamiento es sencillo. En el sistema de archivos donde se encuentra el sistema operativo se encuentra una carpeta con el nombre $Recycle.Bin. Esta carpeta representa al área de la papelera de reciclaje. Cada vez que un usuario tiene al menos un archivo en su papelera de reciclaje en la carpeta, por ejemplo, c:\$Recycle.Bin se crea una carpeta con el SID del usuario. En otras palabras si 2 usuarios del sistema tuvieran archivos en su papelera de reciclaje, la carpeta $Recycle.Bin tendría 2 carpetas del estilo S-1-5-21... y el chorro de números. En la imagen se puede observar la orden lanzada por PowerShell en la máquina infectada ls -Force 'c:\$Recycle.Bin', con esta orden se muestra los archivos, tanto ocultos como no, de la papelera de reciclaje. Flu devuelve un directorio cuyo nombre parece el SID de un usuario... ¿Bingo? Si... Tenemos un usuario de la máquina, el cual dispone de archivos en la papelera de reciclaje, ahora toca ver que es...
Dentro de la papelera... Rebuscando
En el interior de la carpeta de cada usuario encontraremos 2 tipos de archivos, los que empiezan por $I y los que empiezan por $R. Los que comienzan por $I contiene la ruta original del archivo y algunos datos propios del fichero, mientras que los que empiezan por $R tienen en el interior el contenido del archivo original. En la siguiente imagen se puede visualizar ambas situaciones.
Si se quiere descargar el archivo de la máquina de la víctima se dispone de comando getfile <ruta fichero>, sin comillas en la ruta del fichero. Hasta aquí el artículo forensic de hoy, esperamos que os haya gustado ver el funcionamiento de la papelera de reciclaje en el ámbito del análisis forense y como Flu puede aprovecharse de este conocimiento para realizar el robo de estos archivos.