Obtención de líneas temporales para análisis forense. Un ejemplo práctico con Google Chrome

Hola,

Hay mucho escrito sobre obtención de líneas temporales para el análisis forense, pero no quería dejar de hablar de log2timeline. Aunque hablé de esta herramienta tiempo atrás, siempre es bueno recordar este tipo de artefactos y realizar un ejercicio práctico para ilustrar sus posibilidades.

Obtención e instalación de log2timeline

La descarga de los fuentes está disponible en http://www.log2timeline.net/#download. La instalación no entraña ningún misterio, si bien existen unas dependencias en ciertos módulos de Perl que deben ser satisfechas para completar el proceso. El manual está disponible aquí.

La gran ventaja de log2timeline es que es posible obtener la línea temporal en una sola ejecución (sin tener que crear los ficheros mactime y los posteriores body) para una enorme variedad de escenarios:

log2timeline

Un ejemplo práctico: obtención de la línea temporal de la historia de Google Chrome

Emplearemos la siguiente sintaxis:

shernando@portatilhp:~$ log2timeline -o csv -w chrome.csv -f chrome /home/shernando/.config/chromium/Default/History

Donde:

  • -o csv especifica que queremos un archivo de salida separado por comas
  • -w chrome.csv es el nombre del fichero en el que guardaremos los resultados de la ejecución
  • -f chrome es el indicador del módulo de log2timeline que queremos emplear, en este caso, la historia de Google Chrome
  • /home/shernando/.config/chromium/Default/History es la localización del fichero de historia del navegador

El resultado de la ejecución es un fichero CSV que puede ser tratado de las maneras usuales:

csv file

timeline

Si alguien quiere examinar el fichero está disponible aquí. Para hacerlo más legible, he eliminado las duplicidades, algunas llamadas a scripts de terceras páginas y los parámetros de búsqueda &fp, &usg y &ei

Lo que parece claro a la vista de la línea temporal es que el usuario ha buscado información sobre hacking en Windows, y ha descargado con éxito Cain & Abel. Cuidado, hay un script kiddie entre nosotros :)

Lo más relevante es que en la línea temporal tenemos claramente identificado la temporalidad y secuencia de los eventos, lo que nos ayudará a tener una mejor visión del caso, especialmente cuando agreguemos a la línea temporal otras fuentes de información. Prestad atención a la diferencia entre los eventos AUTO_SUBFRAME, LINK y TYPED, ya que de estos se puede obtener un patrón comportamental del usuario investigado, diferenciando entre URLs que se abren sin su intervención, páginas tecleadas directamente en la barra de navegación y enlaces pulsados.

Un saludo,