En la Parte 1 de esta serie sobre “Exploración de la línea de tiempo de actividad de Windows”, exploramos los conceptos básicos de la línea de tiempo: dónde está, cómo se ve en el disco y cómo el uso de Cellebrite BlackLight puede ayudarlo a encontrar bloques de investigación sencillos.

Hay mucho más que la línea de tiempo puede proporcionar a los investigadores, así que profundicemos un poco más. También le mostraremos cómo aplicar las mismas técnicas de búsqueda a dispositivos basados en Mac.

Para resumir brevemente, la línea de tiempo es una función de Windows 10 para rastrear muchos tipos de actividades de los usuarios. Puede recordarle al usuario lo que ha estado haciendo y permitirle simplemente hacer clic en un mosaico de la interfaz del usuario para reanudar una de esas actividades anteriores, por ejemplo, abrir un navegador en una página web que el usuario visitó anteriormente.

Sincronización de Windows

En la Parte 1 de esta serie, nos centramos únicamente en una sola máquina, pero la línea de tiempo tiene mucho más para ofrecer que eso. Como puede haber obtenido de la sección ConnectedDevicesPlatform de la ruta de acceso donde reside la base de datos (db) principal, puede sincronizar las actividades de un usuario en varias máquinas.

En el caso más simple, esto solo requiere que el usuario inicie sesión en varias máquinas con Windows 10 con la misma identificación de Microsoft. Cuando el usuario inicia sesión en una segunda máquina con Windows 10 con la misma identificación de Microsoft utilizada en la primera máquina, las actividades almacenadas en la base de datos se sincronizarán entre ellas.

Lo mismo ocurre cuando se utilizan más de dos máquinas.

Para ilustrar, realicé la siguiente prueba:

  • Puse en marcha una de varias máquinas virtuales con Windows 10 (versión 1903) que utilizo para realizar pruebas iniciando sesión con una de mis cuentas de prueba de identificación de Microsoft.
  • Luego hice algunas “cosas de usuario normal”: navegué por la web en algunos navegadores, creé y edité algunos documentos y vi fotos. Más tarde, creé una nueva máquina virtual (versión 1909).
  • Luego inicié sesión con la misma cuenta de prueba de identificación de Microsoft que usé en la máquina virtual 1903.

Al analizar ActivitiesCache.db en la nueva máquina virtual 1909, esto es lo que vi:

Figura 1: ActivityCache.db en máquina virtual 1903

Podemos ver dos valores diferentes resaltados en la columna Identificación de dispositivo de plataforma. Este campo contiene un blob binario codificado en base64 que no parece particularmente útil a primera vista. Pero cuando vemos el registro de la cuenta de usuario de Vico en la máquina 1909 en                                                                       NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/TaskFlow/DeviceCache, vemos que estos valores se pueden asignar a máquinas especificas diferentes.

Figura 2: Primera entrada de DeviceCache

Figura 3: Segunda entrada de DeviceCache

Tenga en cuenta que los dos nombres clave de cadena base64 resaltados en la figura 2 y 3 coinciden con las dos identificaciones de dispositivo de plataforma en la figura 1.

Aunque DeviceMake y DeviceModel coinciden, sus valores de DeviceName difieren. Al observar los nombres reales de las computadoras en las dos máquinas virtuales en sus respectivos registros en                                                   SYSTEM/CurrentControlSet/Control/ComputerName/ComputerName, vemos lo siguiente para la máquina 1909:

Figura 4: Nombre de la computadora 1909

La máquina 1903 muestra:

Figura 5: Nombre de la computadora 1903

Podemos ver que los valores de DeviceName coinciden con los nombres de las respectivas máquinas virtuales. Con este mapeo podemos determinar fácilmente en qué máquina se llevó a cabo una actividad en particular.

Aún más interesante, si buscamos las horas de inicio de actividad más antiguas en ActivitiesCache.db de máquina virtual 1909 en la figura 6 a continuación, vemos que las actividades se remontan a 3/1/2020.

Creé esa máquina virtual el 21/2/2020. No solo tenemos actividades sincronizadas, sino que tenemos un historial desde antes de que se creara esta máquina. ¿No es divertido?

Figura 6: Horario de inicio de la actividad

Esto tiene consecuencias de investigación significativas.

Por ejemplo, si un sospechoso “pierde” una máquina que puede haber contenido datos relevantes para una investigación, cualquier otra máquina en la que el usuario haya iniciado sesión con la misma identificación de Microsoft puede mantener rastros.

Incluso si el sospechoso compra una máquina nueva para hacerla pasar por una máquina más antigua, siempre que use la misma identificación de Microsoft, puede potencialmente contener rastros de actividad antes de que la nueva máquina estuviera en uso.

¡Pero esperea, hay más!

Sincronización de Mac

Además de sincronizar actividades en dispositivos basados en Windows, la línea de tiempo también puede sincronizar ciertos tipos de actividades desde dispositivos Android, macOS e iOS.

Cellebrite MacQuisition se desarrolló para ayudar a recopilar esta información de dispositivos Mac.

En mis pruebas hasta ahora, si un usuario instala Microsoft Office 365 y selecciona las opciones predeterminadas (que también instalarán OneDrive), entonces las actividades, como acceder a documentos de Office, se sincronizan con cualquier máquina con Windows 10 en la que el usuario inicie sesión con la misma cuenta de Microsoft.

Sin embargo, existen varias limitaciones además de sincronizar solo las actividades relacionadas con Office. Primero, la sincronización ocurre desde otros sistemas operativos a Windows, pero no de modo contrario.

No hay evidencia de actividad que suceda en una máquina con Windows almacenada en sistemas que no son de Windows. Esto tiene sentido porque, hasta donde yo sé, no hay ActivitesCache.db en los otros sistemas operativos. (Si alguien tiene evidencia de lo contrario, me gustaría saberlo). Otras limitaciones se analizan a continuación en ejemplos de macOS y Android.

Aquí puede ver las actividades realizadas en una máquina macOS, consultando ActivitiesCache.db en un sistema Windows.

Figura 7: Tipo de actividad 5 de Mac

El panel inferior derecho muestra información de la actividad 5 resaltada en el panel superior derecho.

Recuerde, el tipo de actividad 5 indica “aplicación abierta”.

Aquí se muestran varios datos útiles:

  • Las líneas 1, 3, 5 y 6 indican que se accedió a un documento llamado “coffee blog.docx” y que está almacenado en OneDrive.
  • La línea 2 indica que el programa utilizado para acceder al documento fue Word. (Esto se parece a cualquier otra actividad que haya ocurrido localmente en la máquina con Windows y otros campos en la base de datos corroboran estas conclusiones).
  • La línea 4 (la más interesante) muestra la devicePlatform e indica que la máquina que hizo el acceso fue una máquina “Mac”.

Desafortunadamente, ahí es donde las buenas noticias terminan en su mayoría. En el panel superior derecho, la identificación del dispositivo de plataforma está vacía; no hay forma de saber en qué máquina Mac se llevó a cabo la actividad. Todo lo que sabemos es que es una máquina que tiene instalado Office365 y se utilizó la cuenta Microsoft conocida.

Figura 8: Tipo de actividad 6 de Mac

Al observar la entrada tipo de actividad 6 (que indica “aplicación enfocada”) para la misma actividad (Figura 8), el panel inferior derecho muestra que activeDurationSeconds es cero. Parece que siempre se establece en cero, por lo que no tenemos idea de cuánto tiempo el usuario estuvo interactuando con la aplicación. Además, el userTimeZone que aparece en el tipo de actividad 6 basado en Windows falta aquí también. A continuación, observaremos Android y veremos que la historia es muy parecida.

Sincronización de Android

Figura 9: Tipo de actividad 5 de Android

Como vimos en el ejemplo de Mac, si miramos el panel inferior derecho en la figura 9 anterior, podemos ver evidencia de que se accedió a “coffee blog.docx” desde OneDrive usando Word.

La devicePlatform aquí, sin embargo, es “Android”, lo que indica que la actividad ocurrió en un sistema Android (aquí, un teléfono Pixel 3). Nuevamente, en el panel superior derecho vemos que la identificación del dispositivo de plataforma está en blanco, por lo que no sabemos en qué sistema Android se originó la actividad.

Figura 10: Tipo de actividad 6 de Android

Además, como vimos en el ejemplo de Mac, al observar una entrada de tipo de actividad 6 para la misma actividad, vemos que activeDurationSeconds es cero y falta el userTimezone. Dejando de lado estas advertencias, poder ver evidencia de actividad que tuvo lugar en dispositivos Mac y Android desde un dispositivo Windows que ha iniciado sesión con la misma identificación de Microsoft, sigue siendo una victoria significativa para los investigadores forenses.

Este es un artefacto que incluso los usuarios altamente técnicos probablemente desconozcan, lo que lo hace potencialmente aún más valioso.

Conclusión

En resumen, la funcionalidad de sincronización de la línea de tiempo de actividad de Windows significa que es posible que encuentre pruebas de las actividades que ocurrieron en una máquina con Windows en otras máquinas, incluso aquellas que no están basadas en Windows, lo que la convierte en un cambio potencial en algunas situaciones.

Y ahora tiene dos herramientas valiosas en Cellebrite BlackLight y Cellebrite MacQuisition que pueden ayudarlo a encontrar evidencia en dispositivos Android o Mac respectivamente.

Añada esta técnica a su arsenal y ¡feliz búsqueda!

Obtenga más información sobre cómo Cellebrite BlackLight y Cellebrite MacQuisition pueden ayudarlo a avanzar en sus investigaciones, aquí.

Vea cómo nuestras soluciones de inteligencia digital pueden ayudarlo a resolver casos de forma más rápida. Comuníquese con nosotros.

Share this post