Sobre la Herramienta:

Live Forensicator es parte de Black Widow Toolbox, su objetivo es ayudar a los investigadores forenses y al personal de respuesta a incidentes a llevar a cabo una investigación forense en vivo rápida.

Lo logra mediante la recopilación de información diferente del sistema para una revisión adicional en busca de un comportamiento anómalo o una entrada de datos inesperada, también busca archivos o actividades inusuales y se lo indica al investigador.

Es de suma importancia tener en cuenta que este guión no tiene inteligencia incorporada y le permite al investigador analizar el resultado y decidir una conclusión o decidir llevar a cabo una investigación más profunda.

 

Dependencias opcionales:

Este script está escrito en PowerShell para su uso en PC y servidores con Windows.

Para características adicionales depende de binarios externos, están en la carpeta Forensicator-Share.

Pero Forensicator puede funcionar sin los binarios, solo ayudan con funciones adicionales.

 

winpmem_mini_x64_rc2.exe:

For taking RAM capture (https://github.com/Velocidex/WinPmem)

BrowsingHistoryView64.exe:

 For a more robust Browsing History View (http://www.nirsoft.net/utils/browsing_history_view.html)

etl2pcapng64.exe:   

For converting network trace to pcap

 

Uso:

# copy the files to the computer

git clone https://github.com/Johnng007/Live-Forensicator.git

 

# Execution

.\Forensicator.ps1 <parameters>

 

Ejemplos:

# Basic

.\Forensicator.ps1

# Check your Version

.\Forensicator.ps1 -VERSION

# Check for Updates

.\Forensicator.ps1 -UPDATE

# Check Usage

.\Forensicator.ps1 -USAGE

# Decrypt An Encrypted Artifact

.\Forensicator.ps1 -DECRYPT DECRYPT

# Extract Event Logs alongside Basic Usage

.\Forensicator.ps1 -EVTX EVTX

# Use the Nirsoft Browser History View to Capture Browser History

.\Forensicator.ps1 -BROWSER BROWSER

#Grab weblogs IIS & Apache

.\Forensicator.ps1 -WEBLOGS WEBLOGS

#Run Network Tracing & Capture PCAPNG for 120 secounds

.\Forensicator.ps1 -PCAP PCAP

# Extract RAM Dump alongside Basic Usage

.\Forensicator.ps1 -RAM RAM

# Check for log4j with the JNDILookup.class

.\Forensicator.ps1 -LOG4J LOG4J

# Encrypt Artifact after collecting it

.\Forensicator.ps1 -ENCRYPTED ENCRYPTED

# Yes of course you can do all

.\Forensicator.ps1 -EVTX EVTX -RAM RAM -log4j log4j -PCAP PCAP -WEBLOGS WEBLOGS

# For Unattended Mode on Basic Usage

.\Forensicator.ps1 -OPERATOR "Ebuka John" -CASE 01123 -TITLE "Ransomware Infected Laptop" -LOCATION Nigeria -DEVICE AZUZ

# You can use unattended mode for each of the other parameters

.\Forensicator.ps1 -OPERATOR "Ebuka John" -CASE 01123 -TITLE "Ransomware Infected Laptop" -LOCATION Nigeria -DEVICE AZUZ -EVTX EVTX -RAM RAM -log4j log4j

# Check for files that has similar extensions with ransomware encrypted files (can take some time to complete)

.\Forensicator.ps1 -RANSOMWARE RANSOMWARE

# You can compress the Forensicator output immidiately after execution Oneliner

.\Forensicator.ps1 ; Start-Sleep -s 15 ; Compress-Archive -Path "$env:computername" -DestinationPath "C:\inetpub\wwwroot\$env:computername.zip" -Force

 

Lo que obtiene el forense:

 

    =================================

     USER AND ACCOUNT INFORMATION

    =================================

     1. GETS CURRENT USER.

     2. SYSTEM DETAILS.

     3. USER ACCOUNTS

     4. LOGON SESSIONS

     5. USER PROFILES

     6. ADMINISTRATOR ACCOUNTS

     7. LOCAL GROUPS

 

    =================================

     SYSTEM INFORMATION

    =================================

     1. INSTALLED PROGRAMS.

     2. INSTALLED PROGRAMS FROM REGISTERY.

     3. ENVIRONMENT VARIABLES

     4. SYSTEM INFORMATION

     5. OPERATING SYSTEM INFORMATION

     6. HOTFIXES

     8. WINDOWS DEFENDER STATUS AND DETAILS

 

    =================================

     NETWORK INFORMATION

    =================================

     1. NETWORK ADAPTER INFORMATION.

     2. CURRENT IP CONFIGURATION IPV6 IPV4.

     3. CURRENT CONNECTION PROFILES.

     4. ASSOCIATED WIFI NETWORKS AND PASSWORDS.

     5. ARP CACHES

     6. CURRENT TCP CONNECTIONS AND ASSOCIATED PROCESSES

     7. DNS CACHE

     8. CURRENT FIREWALL RULES

     9. ACTIVE SMB SESSIONS (IF ITS A SERVER)

     10. ACTIVE SMB SHARES

     11. IP ROUTES TO NON LOCAL DESTINATIONS

     12. NETWORK ADAPTERS WITH IP ROUTES TO NON LOCAL DESTINATIONS

     13. IP ROUTES WITH INFINITE VALID LIFETIME

 

    ========================================

     PROCESSES | SCHEDULED TASK | REGISTRY

    ========================================

    1. PROCESSES.

    2. STARTUP PROGRAMS

    3. SCHEDULED TASK

    4. SCHEDULED TASKS AND STATE

    5. SERVICES

    6. PERSISTANCE IN REGISTRY

 

    =================================

     OTHER CHECKS

    =================================

    1.  LOGICAL DRIVES

    2.  CONNECTED AND DISCONNECTED WEBCAMS

    3.  USB DEVICES

    4.  UPNP DEVICES

    5.  ALL PREVIOUSLY CONNECTED DRIVES

    6.  ALL FILES CREATED IN THE LAST 180 DAYS

    7.  500 DAYS WORTH OF POWERSHELL HISTORY

    9.  EXECUTABLES IN DOWNLOADS FOLDER

    10. EXECUTABLES IN APPDATA

    11. EXECUATBLES IN TEMP

    12. EXECUTABLES IN PERFLOGS

    13. EXECUTABLES IN THE DOCUMENTS FOLDER

 

    =========================================

      ORTHER REPORTS IN THE HTML INDEX FILE

    =========================================

    1.  GROUP POLICY REPORT

    2.  WINPMEM RAM CAPTURE

    3.  LOG4J

    4.  IIS LOGS

    5.  TOMCAT LOGS

    6.  BROWSING HISTORY OF ALL USERS

    7.  CHECK FOR FILES THAT HAS SIMILAR EXTENSIONS WITH KNOWN RANSOMWARE ENCRYPTED FILES

        NOTE: THIS CHECK CAN TAKE SOME TIME TO COMPLETE DEPENDING ON THE NUMBER OF DRIVES AND AMOUNT OF FILES.

    8.  RUNS NETWORK TRACING USING NETSH TRACE & CONVERTS TO PCAPNG FOR FURTHER ANALYSIS

 

Captura de pantalla:

 

Salida HTML:

 

Ejemplos de Uso:

En primer lugar, accedemos al repositorio en el que se encuentra la herramienta para descargarla (https://github.com/Johnng007/Live-Forensicator)

 

Extraemos el contenido de la carpeta comprimida.

 

Para poder ejecutar el Script deberemos habilitar la ejecución de Scripts en PowerShell con los siguientes comandos:

 

Nos situamos en la carpeta de la herramienta y comprobamos la versión de la misma

 

Comprobaremos si este equipo es vulnerable a log4j:

 

Empezarán a cargar procesos indicando los pasos que se están llevando a cabo.

 

 

Cuando finalice, dentro de la carpeta de la herramienta se nos creará un directorio con los resultados del análisis forense.

 

 

Podemos probar a cargar el reporte índice en el cual nos aparecerán todos los resultados del análisis forense en vivo.