Live Forensicator es parte de la caja de herramientas de la Viuda Negra (Black Widow), su objetivo es ayudar a los investigadores forenses y a los respondedores de incidencias a llevar a cabo una rápida investigación forense en vivo.
Para ello, recopila diferente información del sistema para su posterior revisión en busca de comportamientos anómalos o entradas de datos inesperadas, también busca archivos o actividades inusuales y los señala al investigador.
Dependencias Opcionales
Este script está escrito en PowerShell para su uso en PCs y servidores Windows.
Para las características adicionales depende de binarios externos.
Tiene un archivo de soporte WINPMEM para tomar dumps de RAM.
https://github.com/Velocidex/WinPmem
También depende de BrowserHistoryView de Nirsoft para exportar el historial del navegador.
http://www.nirsoft.net/utils/browsing_history_view.html
Se espera que este script funcione fuera de la caja.
winpmem_mini_x64_rc2.exe | BrowsingHistoryView64.exe | BrowsingHistoryView86.exe | etl2pcapng64.exe | etl2pcapng86.exe
Uso y Ejemplos
Copiar los archivos en el ordenador:
git clone https://github.com/Johnng007/Live-Forensicator.git
Ejecución:
.\Forensicator.ps1 <parámetros>
Ejemplos:
- Uso básico:
.\Forensicator.ps1
- Comprobación de la versión:
.\Forensicator.ps1 -Version
- Comprobar las actualizaciones:
.\Forensicator.ps1 -Update
- Extraer los registros de eventos junto con el uso básico:
.\Forensicator.ps1 -EVTX EVTX
- Grabar weblogs IIS y Apache:
.\Forensicator.ps1 -WEBLOGS WEBLOGS
- Ejecutar el rastreo de la red y capturar el PCAPNG:
.\Forensicator.ps1 -PCAP PCAP
- Extraer Dump de RAM junto con el uso básico:
.\Forensicator.ps1 -RAM RAM
- Buscar log4j con el JNDILookup.class:
.\Forensicator.ps1 -log4j log4j
- Sí, por supuesto, puede hacer todo:
.\Forensicator.ps1 -EVTX EVTX -RAM RAM -log4j log4j
- Para el modo desatendido en el uso básico:
.\Forensicator.ps1 -OPERATOR "John Doge" -CASE 01123 -TITLE "Ransomware Infected Laptop" -LOCATION Nigeria -DEVICE ASUS
- Puedes usar el modo desatendido para cada uno de los otros parámetros:
.\Forensicator.ps1 -OPERATOR "John Doge" -CASE 01123 -TITLE "Ransomware Infected Laptop" -LOCATION Nigeria -DEVICE ASUS -EVTX EVTX -RAM RAM -log4j log4j
- Busca archivos que tengan extensiones similares a las de los archivos encriptados por el ransomware (puede tardar un poco en completarse):
.\Forensicator.ps1 -RANSOMEWARE RANSOMWARE
- Puedes comprimir la salida del Forensicator inmediatamente después de la ejecución en una sola línea:
.\Forensicator.ps1 ; Start-Sleep -s 15 ; Compress-Archive -Path "$env:computername" -DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -Force
Puedes encontrar todos los artefactos extraídos en el directorio de trabajo del script.
Forensicator tiene la capacidad de buscar a través de todas las carpetas dentro de un sistema en busca de archivos con extensiones similares a Ransomwares bien conocidos, aunque esta búsqueda toma mucho tiempo, pero es útil si la alerta que recibió está relacionada con un ataque de Ransomware, utiliza el parámetro -RANSOMEWARE
para invocar esto.
Forensictor ahora tiene la capacidad de capturar el tráfico de red usando netsh trace
, esto es útil cuando su investigación tiene que ver con activos que se comunican con IPs maliciosas conocidas, de esta manera usted puede analizar el archivo pcapng a Wireshark y examinar los servidores C&C. Por defecto la configuración de captura dura 120seg.
Características
=================================
USER AND ACCOUNT INFORMATION
=================================
1. GETS CURRENT USER.
2. SYSTEM DETAILS.
3. USER ACCOUNTS
4. LOGON SESSIONS
5. USER PROFILES
6. ADMINISTRATOR ACCOUNTS
7. LOCAL GROUPS
=================================
SYSTEM INFORMATION
=================================
1. INSTALLED PROGRAMS.
2. INSTALLED PROGRAMS FROM REGISTERY.
3. ENVIRONMENT VARIABLES
4. SYSTEM INFORMATION
5. OPERATING SYSTEM INFORMATION
6. HOTFIXES
8. WINDOWS DEFENDER STATUS AND DETAILS
=================================
NETWORK INFORMATION
=================================
1. NETWORK ADAPTER INFORMATION.
2. CURRENT IP CONFIGURATION IPV6 IPV4.
3. CURRENT CONNECTION PROFILES.
4. ASSOCIATED WIFI NETWORKS AND PASSWORDS.
5. ARP CACHES
6. CURRENT TCP CONNECTIONS AND ASSOCIATED PROCESSES
7. DNS CACHE
8. CURRENT FIREWALL RULES
9. ACTIVE SMB SESSIONS (IF ITS A SERVER)
10. ACTIVE SMB SHARES
11. IP ROUTES TO NON LOCAL DESTINATIONS
12. NETWORK ADAPTERS WITH IP ROUTES TO NON LOCAL DESTINATIONS
13. IP ROUTES WITH INFINITE VALID LIFETIME
========================================
PROCESSES | SCHEDULED TASK | REGISTRY
========================================
1. PROCESSES.
2. STARTUP PROGRAMS
3. SCHEDULED TASK
4. SCHEDULED TASKS AND STATE
5. SERVICES
6. PERSISTANCE IN REGISTRY
=================================
OTHER CHECKS
=================================
1. LOGICAL DRIVES
2. CONNECTED AND DISCONNECTED WEBCAMS
3. USB DEVICES
4. UPNP DEVICES
5. ALL PREVIOUSLY CONNECTED DRIVES
6. ALL FILES CREATED IN THE LAST 180 DAYS
7. 100 DAYS WORTH OF POWERSHELL HISTORY
8. EXECUTABLES IN DOWNLOADS FOLDER
9. EXECUTABLES IN APPDATA
10. EXECUATBLES IN TEMP
11. EXECUTABLES IN PERFLOGS
12. EXECUTABLES IN THE DOCUMENTS FOLDER
=========================================
ORTHER REPORTS IN THE HTML INDEX FILE
=========================================
1. GROUP POLICY REPORT
2. WINPMEM RAM CAPTURE
3. LOG4J
4. IIS LOGS
5. TOMCAT LOGS
6. BROWSING HISTORY OF ALL USERS
7. CHECK FOR FILES THAT HAS SIMILAR EXTENSIONS WITH KNOWN RANSOMEWARE ENCRYPTED FILES
NOTE: THIS CHECK CAN TAKE SOME TIME TO COMPLETE DEPENDING ON THE NUMBER OF DRIVES AND AMOUNT OF FILES.
8. RUNS NETWORK TRACING USING NETSH TRACE & CONVERTS TO PCAPNG FOR FURTHER ANALYSIS
https://github.com/Johnng007/Live-Forensicator