El contenido de esta publicación es responsabilidad exclusiva del autor. LevelBlue no adopta ni respalda ninguna de las opiniones, posiciones o información proporcionada por el autor en este artículo. El análisis forense de la memoria es un aspecto crítico del análisis forense digital, que permite a los investigadores analizar la memoria volátil de un sistema para descubrir evidencia de actividad maliciosa, detectar malware oculto y reconstruir eventos del sistema. En este blog, exploraremos el mundo de la memoria forense utilizando dos poderosas herramientas: Fmem y LiME. Profundizaremos en los conceptos básicos de la memoria forense, exploraremos las características y capacidades de Fmem y LiME y brindaremos una guía paso a paso sobre cómo usar estas herramientas para analizar un volcado de memoria. ¿Qué es la memoria forense? La análisis forense de la memoria implica el análisis de la memoria volátil de un sistema para extraer información valiosa sobre el estado del sistema, los procesos en ejecución y las conexiones de red. Este tipo de análisis es crucial en la respuesta a incidentes, el análisis de malware y las investigaciones forenses digitales. Al analizar la memoria, los investigadores pueden: 1. Detectar malware y rootkits ocultos: el análisis forense de la memoria permite a los investigadores descubrir malware y rootkits ocultos que pueden estar ejecutándose activamente en la memoria de un sistema. A diferencia del software antivirus tradicional que analiza principalmente el sistema de archivos, las herramientas forenses de memoria pueden identificar códigos y procesos maliciosos que intentan evadir la detección residiendo únicamente en la memoria. 2. Identificar procesos maliciosos y conexiones de red: al analizar el contenido de la memoria de un sistema, los analistas forenses pueden identificar procesos y conexiones de red sospechosos. Esto incluye procesos que pueden estar realizando actividades maliciosas, como exfiltración de datos, escalada de privilegios o reconocimiento de red. Identificar estas entidades maliciosas es crucial para comprender el alcance y el impacto de un incidente de seguridad. 3. Reconstruir eventos y cronogramas del sistema: la memoria forense permite a los investigadores reconstruir la secuencia de eventos que ocurrieron en un sistema antes y durante un incidente de seguridad. Al analizar los artefactos de la memoria, como las marcas de tiempo de creación de procesos, los registros de conexión de red y las modificaciones del registro almacenados en la memoria, los investigadores pueden crear una línea de tiempo detallada de las actividades, lo que ayuda a comprender las tácticas y técnicas empleadas por los atacantes. 4. Extraiga datos confidenciales: Es posible que haya datos volátiles, como contraseñas, claves de cifrado y otra información confidencial, en la memoria de un sistema durante el funcionamiento normal. Las herramientas forenses de la memoria pueden extraer estos datos de los volcados de memoria, proporcionando evidencia valiosa para las investigaciones digitales. Esta información puede ser crucial para comprender cómo los atacantes obtuvieron acceso a recursos confidenciales y para mitigar posibles riesgos de seguridad. Uso de fmem para captura de memoria: fmem es un módulo del kernel que crea un dispositivo virtual, /dev/fmem, que permite el acceso directo a la memoria física de un sistema. Este módulo es particularmente útil para adquirir volcados de memoria de un sistema comprometido, incluso si el sistema está protegido mediante arranque seguro o ha deshabilitado la capacidad de leer la memoria física directamente. Siga estos pasos para capturar memoria usando fmem: Descargue el código fuente de fmem del repositorio oficial o del administrador de paquetes. Lo mismo se puede encontrar aquí. Una vez clonado en el repositorio, cambie el directorio a fmem usando el comando cd. Puede utilizar el comando ls para enumerar el contenido del directorio. Compile e instale fmem en el sistema Linux de destino: una vez que esté en el directorio fmem, use el comando «sudo make» para crear todas las bibliotecas necesarias asociadas con fmem a partir del código fuente. Compruebe si el dispositivo /dev/fmem se ha creado usando el siguiente comando: ls -l /dev/fmem Debería ver algo como esto: Ahora, para instalar fmem, tenemos que ejecutar el script bash en el directorio fmem. Para usar el mismo puedes usar sudo bash run.sh o sudo ./run.sh. Ahora para adquirir el volcado de memoria, puedes usar una herramienta como dd. Utilice el siguiente comando: sudo dd if=/dev/fmem of=memdump.raw Una vez ejecutado, puede llevar algún tiempo completar la adquisición de memoria dependiendo del tamaño de la RAM. Una vez completado, le mostrará un cuadro de diálogo como este. También puede usar otros comandos que especifiquen el tamaño del búfer, dd if=/dev/fmem of=/home/”username”/memdump.dd bs=1MB. Una vez que haya adquirido el volcado de memoria, puede analizarlo usando LiME u otras herramientas forenses de memoria. . En nuestro próximo blog, exploraremos cómo analizar el volcado de memoria usando LiME.