IntermedioSIFTforense digitalDFIRSANSanálisis de memoriatimeline

SIFT Workstation: Análisis Forense Digital con SANS

Guía completa de SIFT Workstation de SANS: instalación, herramientas forenses incluidas, adquisición de evidencia, análisis de timeline, forense de memoria y flujos de trabajo para investigadores DFIR.

MalwareIntel Research··10 min lectura
Serie: Distros y Frameworks de Análisis — Parte 3

Qué es SIFT Workstation

SIFT Workstation (SANS Investigative Forensics Toolkit) es una distribución forense basada en Ubuntu, creada y mantenida por Rob Lee y el equipo de SANS Institute. Desde su primera versión en 2007, se ha convertido en el estándar de facto para análisis forense digital en entornos de investigación y respuesta a incidentes.

SIFT no es una herramienta de análisis de malware en el sentido tradicional. Su dominio es la investigación forense: responder a las preguntas "qué ocurrió", "cuándo ocurrió", "cómo se propagó" y "qué datos se vieron comprometidos". Mientras REMnux disecciona el malware, SIFT disecciona la escena del crimen.

La distribución incluye más de 200 herramientas forenses organizadas por disciplina: forense de disco, análisis de sistemas de archivos, forense de memoria, análisis de registro de Windows, reconstrucción de timeline y forense de red.

Instalación

Opción 1: OVA preconfigurada

# Descargar desde https://www.sans.org/tools/sift-workstation/
# Importar en VirtualBox o VMware

# Credenciales por defecto:
# Usuario: sansforensics
# Password: forensics

Opción 2: Instalación sobre Ubuntu

SIFT usa CAST (CAST Automated SIFT Tool) para instalarse sobre Ubuntu:

# Descargar e instalar CAST
sudo apt update && sudo apt install -y curl
curl -Lo /tmp/cast_install.sh https://github.com/teamdfir/sift-cli/releases/latest/download/sift-cli-linux

chmod +x /tmp/cast_install.sh
sudo mv /tmp/cast_install.sh /usr/local/bin/sift

# Instalar SIFT completo
sudo sift install --mode=complete

# O modo servidor (sin GUI)
sudo sift install --mode=server

Configuración recomendada de VM

CPU: 2 cores mínimo (4 recomendado para procesamiento de imágenes grandes)
RAM: 8 GB mínimo (16 GB para análisis de memoria de servidores)
Disco: 100 GB mínimo (las imágenes forenses pueden ocupar cientos de GB)
Red: host-only o desconectada (las evidencias no deben salir del laboratorio)

Herramientas principales

Adquisición y montaje de imágenes

HerramientaUso
dc3ddAdquisición de disco con hashing integrado (alternativa forense a dd)
ewfacquireCreación de imágenes en formato E01 (EnCase)
FTK Imager (CLI)Adquisición y verificación de imágenes forenses
xmountConversión entre formatos de imagen (E01 → raw, VMDK → raw)
ewfmountMontaje de imágenes E01 como dispositivo de bloque
afflibHerramientas para formato AFF (Advanced Forensic Format)

Análisis de sistemas de archivos

HerramientaUso
The Sleuth Kit (TSK)Suite de herramientas para análisis de NTFS, FAT, ext, HFS+
AutopsyInterfaz gráfica para TSK con análisis automatizado
flsListado de archivos (incluidos eliminados) en una imagen
icatExtracción de archivos por inode desde una imagen
mmlsMuestra la tabla de particiones de una imagen de disco
fsstatEstadísticas del sistema de archivos

Forense de Windows

HerramientaUso
RegRipperParsing automatizado del registro de Windows
Plaso/log2timelineCreación de super-timelines desde múltiples fuentes
MFTECmdAnálisis de la tabla MFT de NTFS ($MFT)
PECmdAnálisis de Prefetch files (ejecución de programas)
LECmdAnálisis de archivos LNK (accesos directos, Recent, Jump Lists)
SBECmdAnálisis de ShellBags (navegación por carpetas del usuario)
EvtxECmdParsing de logs de eventos Windows (.evtx)
AmcacheParserAnálisis de Amcache.hve (historial de ejecución de programas)

Forense de memoria

HerramientaUso
Volatility 3Framework principal de análisis de volcados de memoria
RekallAlternativa a Volatility con soporte para perfiles automáticos
LiMEAdquisición de memoria en sistemas Linux en vivo

Forense de red

HerramientaUso
Wireshark / tsharkAnálisis de capturas de red
NetworkMinerExtracción de archivos y artefactos de PCAPs
ngrepBúsqueda de patrones en tráfico de red
tcpflowReconstrucción de flujos TCP desde capturas

Flujo de trabajo forense

Fase 1: Adquisición de evidencia

La primera regla de la forense digital: nunca trabajar con la evidencia original. Siempre crear una imagen forense y verificar su integridad.

# Crear imagen forense con dc3dd (incluye hashing)
sudo dc3dd if=/dev/sdb hof=evidence.dd hash=sha256 log=acquisition.log

# O crear imagen en formato E01 (comprimido, con metadatos)
ewfacquire /dev/sdb -t evidence -c deflate -S 2GB

# Verificar integridad
sha256sum evidence.dd
ewfverify evidence.E01

Fase 2: Montaje de la imagen

# Ver particiones
mmls evidence.dd
# Output:
#   000: 000000  Meta    0000000000  0000000000  Primary Table (#0)
#   001: 000000  -----   0000000000  0000002047  Unallocated
#   002: 000000  000:00  0000002048  0001026047  NTFS (0x07)
#   003: 000000  000:01  0001026048  0002097151  NTFS (0x07)

# Montar la partición NTFS (read-only, offset calculado)
# Offset = sector inicio × 512
# Para partición 002: 2048 × 512 = 1048576
sudo mount -o ro,loop,offset=1048576 evidence.dd /mnt/evidence

# Para imágenes E01
ewfmount evidence.E01 /mnt/ewf
sudo mount -o ro,loop,offset=1048576 /mnt/ewf/ewf1 /mnt/evidence

Fase 3: Análisis de sistema de archivos

# Listar todos los archivos (incluidos eliminados)
fls -r -p -m "/" evidence.dd -o 2048 > filelist.txt

# Buscar archivos eliminados
fls -r -d evidence.dd -o 2048

# Extraer un archivo específico por inode
icat evidence.dd -o 2048 12345 > recovered_file.exe

# Buscar archivos por extensión
fls -r -p evidence.dd -o 2048 | grep -i "\.exe$"
fls -r -p evidence.dd -o 2048 | grep -i "\.ps1$"

Fase 4: Análisis del registro de Windows

El registro de Windows es una mina de oro forense. Contiene historial de ejecución, dispositivos USB conectados, redes WiFi, programas instalados y mucho más.

# Localizar archivos de registro
find /mnt/evidence/Windows/System32/config/ -type f -name "SAM" -o -name "SYSTEM" -o -name "SOFTWARE" -o -name "SECURITY"

# Localizar NTUSER.DAT de cada usuario
find /mnt/evidence/Users/ -name "NTUSER.DAT" 2>/dev/null

# Analizar con RegRipper
rip.pl -r /mnt/evidence/Windows/System32/config/SYSTEM -p compname
rip.pl -r /mnt/evidence/Windows/System32/config/SYSTEM -p timezone
rip.pl -r /mnt/evidence/Windows/System32/config/SOFTWARE -p uninstall
rip.pl -r /mnt/evidence/Users/sospechoso/NTUSER.DAT -p userassist
rip.pl -r /mnt/evidence/Users/sospechoso/NTUSER.DAT -p recentdocs

# Análisis completo automatizado
rip.pl -r /mnt/evidence/Windows/System32/config/SYSTEM -a > system_analysis.txt
rip.pl -r /mnt/evidence/Users/sospechoso/NTUSER.DAT -a > user_analysis.txt

Artefactos clave del registro para investigaciones de malware:

  • Run/RunOnce: programas que se ejecutan al inicio (persistencia)
  • UserAssist: historial de programas ejecutados por el usuario (con timestamps y contadores)
  • ShimCache: programas ejecutados o presentes en el sistema
  • BAM/DAM: Background Activity Moderator (Windows 10+, timestamps de ejecución)
  • USB devices: historial de dispositivos USB conectados

Fase 5: Creación de super-timeline

La super-timeline es la herramienta más poderosa de la forense digital. Combina timestamps de múltiples fuentes en una línea temporal unificada:

# Crear timeline con log2timeline (Plaso)
log2timeline.py --storage-file timeline.plaso /mnt/evidence/

# Filtrar y exportar a CSV
psort.py -o l2tcsv timeline.plaso -w timeline.csv

# Filtrar por rango de fechas (momento del incidente)
psort.py -o l2tcsv timeline.plaso -w incident_window.csv \
  "date > '2026-05-15 08:00:00' AND date < '2026-05-16 00:00:00'"

Las fuentes que Plaso combina en la super-timeline incluyen:

  • Timestamps NTFS (MACB: Modified, Accessed, Changed, Born)
  • Registro de Windows (LastWrite times)
  • Prefetch files (timestamps de ejecución)
  • Event logs (.evtx)
  • Historial de navegadores (Chrome, Firefox, Edge)
  • Jump Lists y LNK files
  • $UsnJrnl (journal de cambios NTFS)
  • Logs de aplicación

Fase 6: Análisis de artefactos de ejecución

# Prefetch: qué programas se ejecutaron y cuándo
PECmd.exe -d /mnt/evidence/Windows/Prefetch/ --csv prefetch_results.csv

# Amcache: historial de ejecución con hashes
AmcacheParser.exe -f /mnt/evidence/Windows/appcompat/Programs/Amcache.hve \
  --csv amcache_results.csv

# ShellBags: qué carpetas exploró el usuario
SBECmd.exe -d /mnt/evidence/Users/sospechoso/ --csv shellbags_results.csv

# LNK files: accesos directos y Recent
LECmd.exe -d /mnt/evidence/Users/sospechoso/AppData/Roaming/Microsoft/Windows/Recent/ \
  --csv lnk_results.csv

Fase 7: Forense de memoria

Si se dispone de un volcado de memoria del sistema comprometido:

# Identificar el perfil del sistema
vol3 -f memory.dmp windows.info

# Listar procesos
vol3 -f memory.dmp windows.pslist
vol3 -f memory.dmp windows.pstree  # Vista de árbol

# Buscar procesos ocultos
vol3 -f memory.dmp windows.psscan

# Conexiones de red activas
vol3 -f memory.dmp windows.netscan

# Buscar inyección de código
vol3 -f memory.dmp windows.malfind

# DLLs cargadas por un proceso sospechoso
vol3 -f memory.dmp windows.dlllist --pid 4756

# Extraer un proceso como ejecutable
vol3 -f memory.dmp windows.dumpfiles --pid 4756

Casos de uso en investigaciones

Caso 1: Ransomware en servidor de archivos

Escenario: un servidor Windows presenta archivos cifrados con extensión .encrypted y una nota de rescate.

Timeline de investigación en SIFT:

1. log2timeline → super-timeline del disco del servidor
2. Filtrar por fecha/hora del primer archivo cifrado
3. Prefetch → identificar el ejecutable del ransomware
4. Registro → Run keys para persistencia, MountPoints2 para USB
5. Event logs → logon events, Service Installation, PowerShell
6. Amcache → hash SHA1 del ejecutable para búsqueda en CTI
7. Volatility → procesos y conexiones de red en el volcado de memoria

Resultado típico: identificación del vector de entrada (RDP expuesto, phishing), herramienta de movimiento lateral (PsExec, WMI), y el ejecutable del ransomware con su hash para búsqueda en plataformas CTI como MalwareIntel.

Caso 2: Exfiltración de datos

Escenario: sospecha de robo de datos por un empleado interno.

Artefactos clave en SIFT:

1. ShellBags → carpetas que el usuario exploró
2. LNK files → archivos accedidos recientemente
3. USB devices (registro) → dispositivos de almacenamiento conectados
4. Jump Lists → archivos abiertos por aplicación
5. Browser history → servicios cloud usados (Dropbox, GDrive, WeTransfer)
6. $UsnJrnl → operaciones de copia/movimiento de archivos
7. Event logs → accesos a compartidos de red

Caso 3: Compromiso APT de larga duración

Escenario: se detecta un beacon C2 en un endpoint corporativo. Se necesita determinar el alcance temporal del compromiso.

Análisis en SIFT:

1. Volatility → identificar el proceso del beacon y sus conexiones
2. Super-timeline → buscar el primer artefacto del malware
3. Prefetch → todas las ejecuciones del loader/dropper
4. $MFT → timestamps de creación de archivos maliciosos
5. Registro → tareas programadas, servicios creados, WMI subscriptions
6. Event logs → movimiento lateral (logon type 3, service creation)
7. Amcache → todos los ejecutables desconocidos con sus hashes

Integración con otras herramientas

SIFT + REMnux

Cuando encuentras un artefacto malicioso durante la investigación forense:

  1. En SIFT: extraes el ejecutable sospechoso con icat o vol3 dumpfiles
  2. En REMnux: analizas el binario con Ghidra, capa, YARA
  3. Los IOCs extraídos en REMnux alimentan la búsqueda en la timeline de SIFT

SIFT + plataformas CTI

Los hashes y artefactos encontrados en SIFT se contrastan con plataformas de inteligencia:

# Extraer hashes de la imagen
find /mnt/evidence/ -type f -name "*.exe" -exec sha256sum {} \; > hashes.txt

# Buscar en MalwareIntel, VirusTotal, MalwareBazaar
# Los resultados contextualizan la investigación:
# - Familia de malware
# - Actor atribuido
# - Campañas relacionadas
# - TTPs esperadas

Buenas prácticas forenses

  1. Cadena de custodia: documentar cada paso, cada herramienta usada, cada resultado obtenido
  2. Integridad: verificar hashes antes y después de cada operación
  3. Solo lectura: montar siempre las imágenes en modo read-only
  4. Reproducibilidad: otro analista debe poder reproducir tus hallazgos con los mismos pasos
  5. Notas contemporáneas: documentar mientras analizas, no después de memoria
  6. Preservar originales: nunca modificar la evidencia original, trabajar siempre sobre copias verificadas

Limitaciones

  • Curva de aprendizaje alta: muchas herramientas de línea de comandos con opciones complejas
  • Procesamiento lento en imágenes grandes: log2timeline puede tardar horas en discos de varios TB
  • Formatos propietarios: algunos formatos de imagen forense comerciales pueden requerir conversión
  • Sin análisis dinámico: SIFT analiza evidencia post-mortem, no ejecuta malware

SIFT Workstation es la herramienta fundamental para cualquier investigador DFIR. Su combinación de herramientas maduras, mantenimiento por parte de SANS, y compatibilidad con los flujos de trabajo forenses estándar la convierten en imprescindible para cualquier laboratorio de respuesta a incidentes.

Preguntas frecuentes

Libros recomendados

File System Forensic Analysis

Amazon (enlace afiliado)

The Art of Memory Forensics

Amazon (enlace afiliado)

Artículos relacionados

Distros y Frameworks de AnálisisIntermedio

REMnux: La Distro de Referencia para Análisis de Malware

Distros y Frameworks de AnálisisIntermedio

Tsurugi Linux: DFIR y Análisis de Malware Made in Italy

Distros y Frameworks de AnálisisIntermedio

Construir un Laboratorio de Malware Completo: Guía Definitiva

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.