Análisis del Registro de Windows con RegRipper
En esta entrada veremos el proceso de instalación de RegRipper una herramienta de código abierto para el análisis del registro de Windows, adicionalmente aprenderemos a analizar algunos elementos útiles aprovechando los perfiles y complementos de RegRipper.
Instalación de RegRipper en Linux
Si en algún momento hicimos la instalación de regripper desde los repositorios ejecutamos sudo apt remove regripper para removerlo ya que la versión de los repositorios requiere el uso de wine.
sudo apt-get update
Instalamos algunos paquetes requeridos para la instalación de RegRipper y sus dependencias
sudo apt-get install git cpanminus
Cpanminus permite gestionar paquetes de perl, una vez instalado instalamos Win32Registry
sudo cpanm Parse::Win32Registry
sudo cpanm Parse::Win32Registry --force
En el repositorio de GitHub de Keydet89 encontraremos la versión estable de RegRipper, en este caso instalaremos la versión 2.8, nos ubicamos sobre el botón Clone or Download y luego clic en el icono de copiado de la url.
Y usamos el comando git clone para clonar el proyecto
git clone https://github.com/keydet89/RegRipper2.8.git
Esperamos que finalice el proceso de descarga e ingresamos a la carpeta de RegRipper
cd RegRipper2.8/
Creamos una carpeta en /usr/share para alojar los plugins y los copiamos
sudo mkdir -p /usr/share/regripper/
sudo cp -r plugins/ /usr/share/regripper/
Movemos el script de regripper
sudo mv rip.pl /usr/local/bin/rip.pl
Otorgamos permisos de ejecución
chmod +x /usr/local/bin/rip.pl
Recargamos la configuración
source ~/.bashrc
Al ejecutar el comando rip.pl nos aparece el siguiente mensaje de error, esto se debe a que el script viene configurado para ejecutarse en un entorno windows.
ejecutamos el comando which perl para identificar la ruta en la cuál está instalado el intérprete de perl en mi caso
Si editamos el script sudo vim /usr/local/bin/rip.pl encontraremos que en la primera línea apunta a perl.exe, modificamos este valor:
Establecemos la ruta que corresponde a nuestro sistema
Guardamos y salimos del archivo y ejecutamos nuevamente el script rip.pl
Sin embargo si intentamos listar los plugins rip.pl -l nos arrojará una serie de errores
Editamos nuevamente el script y quitamos los comentarios de la línea 61, 66 y 67
Por último debemos cambiar la ruta plugins por /usr/share/regripper/plugins, la forma más rápida es a través de sed, así que ejecutamos los siguientes comandos:
sudo sed -i 's/\"plugins\/\"\;/\"\/usr\/share\/regripper\/plugins\/\"\;/' /usr/local/bin/rip.pl
sudo sed -i 's/(\"plugins\")\;/(\"\/usr\/share\/regripper\/plugins\")\;/' /usr/local/bin/rip.pl
Validamos el funcionamiento correcto de regripper
rip.pl -l
Si todo está bien debe aparecer el listado de plugins
Instalación en Windows
Si alguno opta por instalar regripper en linux el proceso es más simple.
En el sitio de regripper de github descargamos el ZIP
Se descomprime el archivo y desde cmd nos ubicamos en la ruta en la cuál se descargo regripper
Análisis de las llaves de registro
Para explicar el uso de regripper les comparto unos archivos que corresponden al registro de windows de un CTF que armé hace unos años.
https://dvirus.training/wp-content/uploads/2020/03/Registry.tar.gz
Una vez descargados verificamos la integridad del archivo
sha1sum Registry.tar.gz
d541bf0f801e607dc54781d1fc31fae6aa4e3583 Registry.tar.gz
Desempaquetamos el archivo
tar -zxvf Registry.tar.gz
Ingresamos a la carpeta Registry y ejecutamos el comando file sobre los archivos
file *
Comenzamos con el análisis del archivo SYSTEM, -r hace referencia al archivo y -f al perfil en este caso el perfil es system
rip.pl -r SYSTEM -f system
Ahora vamos a comenzar a investigar algunos elementos puntuales a través de los plugins de regripper.
Zona horaria del sistema
rip.pl -r SYSTEM -p timezone
En este caso obtenemos que el sistema se encuentra en UTC, así que si estamos haciendo el análisis forense debemos tener esta información en cuenta.
Último apagado del sistema
rip.pl -r SYSTEM -p shutdown
Arquitectura del Procesador
rip.pl -r SYSTEM -p processor_architecture
Direccionamiento IP
rip.pl -r SYSTEM -p nic2
Ejecución de Archivos
Para confirmar la ejecución de archivos podemos usar el plugin de appcompatcache o shimcache, este artefacto retorna los archivos ejecutados con base en la información de los errores de compatibilidad a la hora de la ejecución.
rip.pl -r SYSTEM -p appcompatcache
rip.pl -r SYSTEM -p shimcache
Nombre del equipo
rip.pl -r SYSTEM -p compname
Recursos compartidos
rip.pl -r SYSTEM -p shares
Último usuario autenticado en el sistema
rip.pl -r SOFTWARE -p lastloggedon
Instalaciones de Software
rip.pl -r SOFTWARE -p installer
Versiones del Software Instalado
Versión del Sistema Operativo y Fecha de Instalación
rip.pl -r SOFTWARE -p winver
Con esto hemos concluído el uso básico de regripper, ahora es tiempo de practicar.
Laboratorio
Extraiga el archivo NTUSER.DATde su computador analice las siguientes opciones:
rip.exe -r NTUSER.DAT -p logonstats
rip.exe -r NTUSER.DAT -p proxysettings
rip.exe -r NTUSER.DAT -p recentapps
rip.exe -r NTUSER.DAT -p recentdocs
rip.exe -r NTUSER.DAT -p recentdocs_timeline
rip.exe -r NTUSER.DAT -p shellactivities
rip.exe -r NTUSER.DAT -p wordwheelquery
Referencias:
https://github.com/keydet89/RegRipper2.8
https://blog.dfir.fi/tools/2020/02/19/install-regripper.html
Deja un comentario