¿Que es el Volume Shadow Copy?

Este servicio esta presente en Windows desde la primera versión de XP, es el servicio responsable de crear copias de seguridad periódicas de nuestro equipo, con objeto de poder realizar una restauración del sistema, es lo que normalmente conocemos como “punto de restauración del sistema“.

Este servicio (VSS) crea copias ocultas (shadow copy) de cada uno de los bloques de 16k que recibe una variación y/o cambio de estado en la partición NTFS del disco duro. Este servicio realiza las copias de seguridad ocultas cada vez que ocurre una variación en el sistema como fruto de la instalación y/o actualización de un software / aplicación. Se puede decir que la frecuencia de realización de esta copias puede sucederse al menos con la periodicidad de cada dos semanas en Windows 7 y Windows 8, esto se da por las actualizaciones del Sistema Windows.

La utilización del disco duro suele variar de un Sistema Operativo a otro, por ejemplo en Windows Vista se reserva el 15% de la capacidad total del disco, sin embargo en Windows 7 y Windows 8 este tamaño es de aproximadamente 5%. Esto por supuesto, también depende de la actividad (cambios) que se detecten en el disco duro del Sistema.

En Windows 8, se ha introducido el “Historial de archivos” donde algunos, con cierto grado de exactitud, han creído que el servicio de copias ocultas de Windows había evolucionado hacia esa nueva característica, nada mas lejos de la realidad, pues el servicio (VSS) sigue siendo el mismo, lo único es que ahora hay una nueva funcionalidad del Sistema Operativo que aprovecha ese servicio.

No obstante, en Windows 8, el servicio de Volume Shadow Copy se encuentra activo y funcionando por defecto. Esto en parte se debe a que se tiene activado el sistema de protección del Sistema, o lo que es lo mismo, el servicio de “creación de puntos de restauración“.

Herramientas para la manipulación de los Volume Shadow Copy de Windows

Desde el punto de vista de Pentester se hace evidente la necesidad de manipular los volúmenes ocultos (VSC) desde una línea de comandos, pues lo más probable es que si se consigue acceso remoto a un equipo durante un test de penetración sea gracias a una ventana de líneas de comandos remota.

Lo primero es conocer que comandos “nativos” del Sistema operativo se tienen disponibles para manipular dichos volúmenes ocultos, en particular se tiene:

  • VSSADMIN
    Es la herramienta administrativa del Servicio de Volume Shadow Snapshots (VSS), que permite administrar dichos volúmenes.
  • MKLINK
    Se utiliza para crear un vinculo simbólico a un objeto del sistema como por ejemplo un volumen VSC.
  • VSC ToolsetDescargar VSC Toolset
    Permite navegar por el sistema de ficheros de dichos volúmenes se necesita permisos de administrador para poder realizar dicha navegación. Es una interfaz GUI para los comandos nativos del Sistema Operativo.

Una vez se ha creado un enlace simbólico al volumen oculto en cuestión, se tiene pleno acceso al contenido almacenado en él, pudiendo realizar acciones como por ejemplo: copy.

Con el comando MKLINK se puede copiar un fichero malware en el Sistema de manera permanente sin ser detectado por los administradores de Sistemas, aunque con algunas limitaciones, pues en el momento de acceder al volumen podría ser detectado por el sistema de antivirus, por lo que deberá de llevarse a cabo otras acciones complementarías para evitar dicha acción.

Además, se podrá acceder a dichos volúmenes y copiar información del Sistema incluido aquellos archivos / directorios protegidos por el Sistema Operativo, que podrán ser extraídos de manera segura y sin “hacer” ruido.

Truco para evitar el AV, si este no esta configurado para Analizar unidades en Red

mklink /D c:\temp\drv \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy14\net share drv=c:\temp\drv net use f: \\127.0.0.1\drv f:\malware\backdoor.exe

De esa forma podría evitarse el AV y ejecutar nuestro archivo “maligno”, durante el “test de penetración”.

También podría utilizar wmic para ejecutar archivos desde el VSC (Volume Shadow Copy) enlazado simbólicamente, tal que así:

wmic process call create \\.\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\system32\cmd.exe

¿Cómo utilizar VSC ToolSet?

Las Volume Shadow Copy (VSC) se han convertido en una parte importante del examen forense de una máquina Windows, ya que pueden proporcionar detalles sobre la actividad del usuario que no era posible en el pasado.

Ser capaz de ver cómo el sistema ha cambiado durante un período de tiempo puede ser crítico en muchos exámenes, y VSCs puede proporcionar sólo eso (y más).

Los aspectos forenses de VSCs, así como su funcionalidad, han sido cubiertos en detalle.

Dado que esta aplicación sólo ejecuta secuencias de comandos de lote en segundo plano, hay una carpeta llamada “batch” que debe almacenarse en el mismo directorio que el ejecutable de VSC Toolset.

Como es de suponer, aquí se almacenarán los scripts de lotes. Cada archivo de este directorio con la extensión .bat aparecerá en el cuadro desplegable situado junto a “Comando” en la GUI.

La idea es que un usuario pueda escribir su propio archivo por lotes con un comando que se llevará a cabo en una copia de sombra de volumen único, almacenarla en la carpeta “batch” y la aplicación GUI (le di el nombre “VSC Toolset “) se hará cargo del resto.

Es decir, VSC Toolset listará el archivo por lotes en el cuadro desplegable de comandos y proporcionará un medio para introducir los parámetros.

 

Requisitos para tener la funcionalidad completa

  • RegRipper : rip.exe, carpeta de complementos y otros requisitos de RR deben estar en la raíz del directorio “regripper”, que se encuentra en el mismo directorio que el ejecutable de VSC Toolset
  • Diff : incluido en la descarga de UnxUtils, diff.exe debe estar en el mismo directorio que el ejecutable de VSC Toolset
  • ActivePerl : necesario para ejecutar lista de salto y secuencias de comandos Perl de análisis LNK, ActivePerl debe instalarse en la máquina en la que se ejecuta el conjunto de herramientas VSC
  • LogParser : necesario para la funcionalidad relacionada con el registro de eventos, LogParser.exe y LogParser.dll deben estar en el mismo directorio que el archivo ejecutable de VSC Toolset
  • Jl.pl : incluido en los archivos wfa3e, debe estar en el mismo directorio que el ejecutable de VSC Toolset
  • Lslnk-directory-parse2.pl: disponible desde el grupo Win4n6 bajo Files \ Tools, debe estar en el mismo directorio que el ejecutable de VSC Toolset
  • Auto_rip : auto_rip.exe debe estar en la raíz del directorio “regripper”

Toda la información completa sobre esta utilidad