MicEnum


MicENUM

 09/07/15. Versión 0.1

Google Index Retriever

En el contexto de la familia de sistemas operativos de Microsoft Windows, Mandatory Integrity Control (MIC) es una funcionalidad de seguridad que se introdujo en Vista, y que se ha implementado en los siguientes sistemas operativos. Añade niveles de aislamiento basados en integridad de los procesos y objetos. Los niveles de integridad representan el nivel de confianza en un objeto, y puede ser establecido a nivel de ficheros, carpetas, etc. El caso es que no existe interfaz gráfica para funcionar con los MIC en Windows. MicEnum ha sido creado para solucionar esto, y como una herramienta forense.

MicEnum es una simple herramienta gráfica que:

  • Enumera los niveles de integridad de los objetos (ficheros y carpetas) en el disco duro.
  • Enumera los niveles de integridad de las ramas del registro.
  • Ayuda a detectar anomalías en ellos destacando los niveles de integridad diferentes.
  • Permite guardar y restaurar la información en un fichero XML para que pueda ser usado en estudios forenses.

MicEnum

¿Cómo funciona la herramienta?

La única forma por ahora de mostrar o establecer los niveles de integridad en Windows es usando icacls.exe, una herramienta nativa de línea de comando. No hay forma fácil o estándar de detectar cambios o anomalías. Como ocurre con NTFS, un atacante podría haber modificado los niveles de integridad de un fichero en el sistema para elevar privilegios o desplegar otros ataques, por lo que, observar este tipo de movimientos y anomalías es importante para acciones preventivas o de tipo forense.

La herramienta representa los ficheros y carpetas en formato árbol. Su nivel de integridad se muestra en la columna anexa. Si se escanea un directorio, la herramienta comprobará el nivel de integridad de sus hijos y si alguno no es igual al del padre, expandirá esa rama. Si se han expandido varias ramas y se quiere reagrupar los que ya se conoce que no son diferentes, se puede marcar el checkbox de abajo. Esconderá las carpetas que se supone comparten nivel de integridad.

MicEnum

Para establecer nuevos niveles de integridad, se puede usar el menú contextual de nuevo para establecer el nivel deseado. No deben ser cambiados a menos que se sepa qué se está haciendo. Es posible que se necesiten permisos de administrador para conseguir que efectivamente se establezcan.

MicEnum

Para propósitos forenses, toda la “sesión” o información sobre los niveles de integridad se pueden guardar como un fichero XML. Más tarde es posible restablecerlos con la misma herramienta. Una vez se han restablecido, no se ven los iconos y no se pueden establecer nuevos valores, puesto que en la herramienta no se está viendo el disco “en vivo”.

MicEnum

Esto aplica igualmente a las ramas del registro, en su pestaña correspondiente del programa.

MicEnum está inspirada en AccessEnum, una herramienta clásica de Sysinternals que enumera los permisos NTFS y ayuda a detectar anomalías.