Menú principal

jueves, 10 de octubre de 2013

OS X Auditor: Framework de análisis forense de Mac OS X

Ya hemos hablado sobre análisis forense a equipos Mac OS X, como por ejemplo la herramienta Pac4Mac con la que se podía llevar a cabo un forense desde una unidad USB conectada al equipo o cómo realizar un análisis forense de  la memoria RAM de OS X a través de Volatility Framework

Hoy hablaremos de la herramienta OS X Auditor, la que proporciona ciertas funcionalidades interesantes para llevar a cabo un análisis forense en un equipo Mac OS X. Esta aplicación se encuentra implementada en el lenguaje Python y permite realizar una instantánea de algunos datos de interés para poder realizar un análisis forense de un equipo Mac OS X en funcionamiento.

Es posible que queramos realizar una copia de dicha información para su posterior análisis, pudiendo llevar a cabo dicha funcionalidad también. Algunos datos de interés a tener en cuenta que se pueden recolectar son las cookies, el historial de los formularios, inicios de sesión almacenados, bases de datos de configuración y en general casi todos los datos lo que podamos imaginar del navegador de Internet auditado.

La herramienta permite extraer las cuentas almacenadas localmente de las redes sociales y correo electrónico con las que se ha conectado cualquier usuario desde ese equipo. También obtener información de las redes WiFi para poder verificar y señalar a qué puntos de acceso se ha conectado el sistema que además se intentarán geolocalizar. El siguiente gráfico describe todas sus capacidades en la versión 0.3.

Figura 1: Descripción de capacidades de OS X Autitor

En la parte de sistema la herramienta OS X Auditor, intentará enumerar los servicios de terceros (daemons) y las extensiones del kernel. Puede verificar la reputación de cada archivo en varios sistemas de evaluación de malware para poder conocer si alguno de esos servicios es peligroso o no. La presentación de los documentos de resultado se llevará a cabo en formato similar a un archivo LOG, es decir, un TXT sencillo, o incluso pasarlo a formato HTML para una mejor presentación.

Esta herramienta se encuentra en la versión 0.4 actualmente, aunque por lo que podemos ver en su repositorio GIT, puede haber cambios en breve. Para poder lanzar la aplicación debemos tener Python versión 2.7.2 (2.7.5 OK) o superior. No se ejecutará con una diferente versión de Python, y la herramienta está escrita para trabajar en OS X Mountain Lion. Para poder recolectar las distintas evidencias del sistema se debe ejecutar python file como root, vía sudo por ejemplo. Si no ejecutamos de esta manera no podremos extraer toda la información del sistema a analizar.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares