Poder determinar cuándo, dónde y qué aplicaciones ha estado usando un sospechoso puede ser información fundamental cuando se intenta avanzar en una investigación.

En Cellebrite, siempre nos centramos en brindarle las formas más fáciles de determinar la información más relevante para revelar inteligencia aprovechable de forma más rápida.

En la serie de tres partes, el Dr. Marziale se centrará en la “Línea de tiempo de actividad de Windows” y responderá la pregunta más importante de todas: ¿Qué puede hacer este artefacto dentro de sus investigaciones?

La parte 1 le proporcionará una descripción general sólida de lo que trata la “Línea de tiempo” y parte de la información básica que proporciona.

La Parte 2 y la Parte 3 profundizarán para mostrarle toda la variedad de información útil que la línea de tiempo puede proporcionar.

Empecemos.

Lo bueno

La línea de tiempo puede brindarle todo tipo de información útil:

  • Las aplicaciones que un usuario haya ejecutado.
    *La hora de inicio de una aplicación.
    *La hora de finalización de una aplicación.
  • La marca de tiempo que el usuario participó activamente con la aplicación.
  • Las URL visitadas con las aplicaciones anteriores.
  • Los archivos accedidos usando las aplicaciones anteriores.
  • Texto y archivos que el usuario copió y pegó.

La configuración del sistema que afecta a la línea de tiempo es compleja, pero los datos generalmente se almacenan durante al menos 30 días (más si aprovecha las instantáneas de volumen (VSC) y copias de seguridad).

Además, dependiendo de la configuración, la línea de tiempo en una máquina puede almacenar esta misma información sobre las acciones de un usuario en otras máquinas.

Algunos de los datos incluso pueden provenir de otros dispositivos que ejecutan sistemas operativos distintos de Windows (por ejemplo, Android y macOS).

No hace falta decir que hay muchas cosas sucediendo aquí.

Cómo funciona la línea de tiempo

A partir de la versión 1803, Windows 10 comenzó a rastrear las actividades de los usuarios específicamente para admitir la nueva función Línea de tiempo.

La línea de tiempo proporciona a los usuarios una visión de la interfaz de usuario de las aplicaciones que se ejecutan actualmente y otras aplicaciones que se han utilizado recientemente, junto con información sobre lo que el usuario estaba haciendo en la aplicación.

Al hacer clic en el mosaico de la aplicación en la interfaz de usuario, se reanuda esa actividad en la aplicación, como una URL que se abrió en un navegador web o un archivo que se estaba editando en una aplicación de procesamiento de texto.

Para aquellos que no lo han visto, se ve así:

En la parte superior, vemos cuadros (“mosaicos”) para las aplicaciones que están abiertas actualmente.

Debajo de ellos, vemos mosaicos para las aplicaciones que se usaron hoy.

Y debajo de ellos, podemos ver los mosaicos de las aplicaciones utilizadas en días anteriores.

El desplazamiento vertical muestra más historial hasta un máximo de 30 días.

Cada mosaico incluye el nombre de la aplicación, el archivo o la URL actualmente abierta y (a veces) una captura de pantalla de la aplicación.

Además de navegar, un usuario puede buscar utilizando el icono en la esquina superior derecha.

De inmediato, esto le parecería interesante a cualquier investigador:  Windows está claramente rastreando una gran cantidad de datos en las actividades de los usuarios.

Esto sería lo suficientemente útil como una técnica de clasificación en vivo, pero como estos datos también se almacenan en algún lugar del sistema, que conoce los otros beneficios pueden almacenarse allí también.

Veamos más de cerca.

¿Dónde está lo bueno?

El almacenamiento principal de datos de la línea de tiempo se encuentra en el directorio de inicio de cada usuario en la siguiente ruta de acceso:

C:\Users\<user>\AppData\ConnectedDevicesPlatform\<folder>\ActivitiesCache.db

En el ejemplo anterior, <folder> puede ser cualquiera de los siguientes según el tipo de cuenta con la que el usuario haya iniciado sesión:

Cuenta de usuario local:

L.<nombre de cuenta de usuario local> (por ejemplo, “L.vico”)

Cuenta de Microsoft:

Número de identificación de Microsoft (por ejemplo, «cdd048cc6c17532e”)

Cuenta de Azure Active Directory:

AAD.XXXXX

Tenga en cuenta que el directorio de un solo usuario puede tener varias carpetas de tipo de inicio de sesión (por ejemplo, una carpeta “L.vico” y una “cdd048cc6c17532e”).

Esto puede suceder cuando un usuario usa inicialmente un inicio de sesión local y luego cambia a una cuenta de Microsoft.

En caso de que necesite encontrar el nombre de la cuenta de Microsoft para la identificación de Microsoft, la asignación se puede encontrar en el registro en:

NTUSER.DAT\Software\Microsoft\IdentityCRL\UserExtendedProperties

En el ejemplo anterior, podemos ver que la identificación de Microsoft (cid) “cdd048cc6c17532e” se asigna al nombre de usuario “vico.scenario@gmail.com”.

¿Cómo se ve?

La base de datos ActivitiesCache.db SQLite tiene un esquema simple con poco más de un grupo de tablas.

El esquema cambia un poco según la versión de Windows 10 (1803, 1809, etc.), pero básicamente se ve así:

Para esta publicación, nos centraremos en la tabla de actividades solo como se ve a continuación:

Sí, hay muchas columnas, incluidas siete que contienen marcas de tiempo (como a muchos de nosotros, me encanta encontrar nuevas marcas de tiempo).

Si, por el momento, pensamos en cada mosaico que vimos en la primera captura de pantalla anterior como una actividad descrita por una fila en esta tabla, entonces podemos hablar sobre algunas de las columnas más importantes desde una perspectiva forense.

Podemos ver rápidamente los datos en Cellebrite BlackLight (2019r3) yendo a Intel aprovechable y luego viendo a la izquierda Ejecución del programa -> Caché de actividades -> Actividad

Identificación de GUID

Puede que no parezca importante en este momento, pero a medida que profundicemos en esta serie, se hará evidente la importancia de un GUID que identifique una actividad, por lo que lo señalamos aquí.

Identificación de aplicación

También puede estar disponible una lista de identificadores con formato JSON para esta aplicación en todas las plataformas donde sea compatible.

Debido a las características sincronizadas de multiplataforma de la línea de tiempo, la aplicación no se especifica como el ejecutable exacto que se procesó como lo hacen otros artefactos que rastrean la ejecución del proceso (por ejemplo, captura previa o asistencia al usuario), sino como el conjunto de aplicaciones que pueden continuar esta actividad en todas las plataformas.

Podemos ver a continuación que Edge se estaba utilizando claramente, aunque no se menciona ningún archivo “.exe”.

Dicho esto, para algunas aplicaciones verá el ejecutable real en la lista como lo hace para notepad.exe a continuación:

Mientras estamos aquí, solo voy a incluir esta captura de pantalla como un adelanto de las próximas publicaciones de esta serie (tenga en cuenta los valores de “plataforma”):

Identificación de actividad de la aplicación

Este es un identificador proporcionado por la aplicación para la actividad.

A menudo incluye información sobre en qué parte de la aplicación se encontraba el usuario, por ejemplo, en qué página web estaba el usuario o qué archivo tenía abierto la aplicación, lo cual es claramente útil para una investigación.

A continuación, vemos que la aplicación, “Edge”, se abrió como https://dfrws.org:

Tipo de actividad

Se realiza un seguimiento de diferentes tipos de actividades en la línea de tiempo, incluso cuando un usuario abre una aplicación y está interactuando con esa aplicación, acciones del portapapeles y más.

En la captura de pantalla siguiente, los dos tipos de actividad más importantes son 5: el usuario inició una actividad (por ejemplo, abrió una aplicación);

y 6: el usuario interactuó con una aplicación (por ejemplo, le dio foco a la aplicación).

Hora de inicio: Como puede imaginar, para el tipo de actividad 5, es cuando el usuario abre la aplicación. Para el tipo de actividad 6, este es el momento en que el usuario comenzó a interactuar con la aplicación.

Hora de finalización: Lo mismo ocurre aquí. Para el tipo de actividad 5, es cuando el usuario cerró la aplicación. Para el tipo de actividad 6, es cuando el usuario finalizó su interacción con la aplicación (por ejemplo, se enfocó en otra aplicación).

Comprensión de la carga útil

La carga útil contiene diferentes tipos de datos según el tipo de actividad.

Para el tipo de actividad 5, contiene información que describe cómo mostrar el mosaico en la interfaz del usuario de la línea de tiempo.

Esto incluye todo el texto dentro y alrededor del mosaico y, como vimos antes, generalmente incluye el nombre de la aplicación, qué archivo o URL se abrió en la aplicación y más.

A continuación, la carga útil nos dice el nombre para mostrar de la aplicación, “010 Editor” y el archivo que se abrió:

“C:\\Users\\USSF-JKreese\\Documents\\Logs\\Log Files\\USSF Crypt.torrent.”

A veces hay considerablemente más datos en la carga útil y otras veces considerablemente menos, pero casi siempre se proporciona el nombre de la aplicación. (Y no pregunte sobre FileShellLink, todavía no lo he descubierto).

Para el tipo de actividad 6, hay un tipo de información completamente diferente en la carga útil, es decir, la cantidad de tiempo que el usuario estuvo interactuando con la aplicación durante este período de actividad y la zona horaria en la que estaba el usuario en el momento de la interacción.

A continuación, vemos que el usuario estuvo interactuando con la aplicación durante 202 segundos y que estaba en la zona horaria «Estados Unidos/Chicago”.

Si miramos la identificación de la aplicación para el tipo de actividad 6 anterior, vemos que la aplicación que se estaba utilizando era Chrome.

Juntando todas las partes

Si tomamos todas las partes que hemos visto anteriormente y las juntamos, podemos obtener una visión bastante detallada de la interacción de un usuario con una aplicación durante una sesión de uso.

Aquí hemos utilizado la función de filtrado de Cellebrite Blacklight para centrarnos en la actividad de una sola aplicación: IrfanView.

Al filtrar las entradas donde la identificación de la aplicación contiene la cadena “IrfanView”, vemos un tipo de actividad 5 con una hora de inicio de 9/1/2019 19:58:04 (UTC), que indica cuándo el usuario abrió la aplicación.

Si miramos la carga útil del tipo de actividad 5, podemos ver el archivo que el usuario usó IrfanView para abrir, con la ruta de acceso completa a lo que puede ser una unidad extraíble: “F:\\Actuals\\1-1-879×485.jpg.”

Si observamos la carga útil de una de las entradas del tipo de actividad 6, indica que el usuario interactuó con IrfanView durante 11 segundos desde 9/1/2019 19:58:05 (UTC) hasta 9/1/2019 19:58:16 (UTC). Las otras entradas del tipo de actividad 6 detallan otras interacciones.

Estos artefactos brindan una vista increíblemente detallada de las interacciones del usuario con la aplicación, mucho más de lo que generalmente proporcionan otros artefactos de ejecución de procesos. Y en un sistema bien utilizado, puede haber miles de actividades almacenadas en la base de datos.

Revisión

En la primera entrega de esta serie, hemos visto los conceptos básicos de lo que el análisis de la línea de tiempo de actividad de Windows puede hacer por su caso y solo hemos visto lo más importante de todas las formas en que Cellebrite BlackLight puede ayudarlo a aprovechar este artefacto en sus investigaciones.

En las próximas publicaciones, analizaremos más de cerca las opciones de configuración que pueden afectar drásticamente lo que se almacena en la base de datos, el aspecto de los datos sincronizados, lo que se almacena en las otras tablas de la base de datos y más.

Mientras tanto, ¡feliz búsqueda!

Obtenga más información sobre cómo Cellebrite BlackLight y Cellebrite MacQuisition (para analizar dispositivos Mac) pueden ayudarlo en sus investigaciones, aquí.

Vea cómo nuestras soluciones de inteligencia digital pueden ayudarlo a resolver casos más rápido Comuníquese con nosotros.

Share this post