¿Qué es el fichero $UsnJrnl?

¿Sabes qué es el fichero $UsnJrnl o fichero Usn Journal?

El fichero $EXTEND/ $USNJnrl/f$J es un alternate data stream del fichero $EXTEND/ $USNJrnl, es decir, guarda información extra de lo que encontramos en este fichero. Existen dos ficheros, uno que es el fichero $USNJrnl y otro que está dentro del fichero $USNJrnl, el cual es el $J.

Este artefacto contiene un registro con muchísimos cambios que se producen en un volumen NTFS. Se interpreta mucho mejor que el $logfile.

El fichero $UsnJrnl

El fichero $UsnJrnl guarda las operaciones que se llevan a cabo sobre los ficheros, como:

• Ficheros añadidos.
• Ficheros borrados.
• Ficheros modificados.

Por ello, hay ciertas herramientas en las que se alimentan unos de otros, porque aunque guardan información sobre los ficheros, no guardan siempre la misma información.

Entonces, analizarlos de forma separada e independiente no nos va a dar una información completa del sistema, no nos va a decir a ciencia cierta toda la información de la estructura de los ficheros, de los directorios, etc. Con las herramientas que nos permiten combinar la información de diferentes archivos del fichero $UsnJrnl podemos obtener un panorama más completo acerca de todos los procesos.

Herramienta para el análisis de fichero $UsnJrnl

La herramienta para hacer el análisis de fichero $UsnJrnl es UsnJrnl2Csv. Esta herramienta lo que hace es tomar el fichero $UsnJrnl y parsearlo para sacar como resultado un archivo .csv.

Esto es útil en las empresas porque, en caso de un ataque a posteriori, podemos ver qué archivos se han creado, se han borrado y si la ransom o el spyware han ingresado. Esto nos va a ayudar a crear, primero, un plan que nos permita manejar la contingencia a partir de toda la información que tenemos, y segundo, un plan a largo plazo para futuras intrusiones del mismo tipo.

Con este programa para visualización de fichero $UsnJrnl podemos ver cuándo han introducido el fichero malicioso en el sistema y cuándo se ha ejecutado, porque, por ejemplo, el ransom modifica el nombre del fichero. Por tanto, podemos ver cuándo hay una modificación en el fichero MFT. Debido a que cambia el system information, podríamos ver cuándo ocurrió todo eso.

También vemos, en caso de que se dé, cuándo hay una fuga de información.

Caso práctico

Veamos un caso práctico del momento en el que podríamos usar esta herramienta de análisis del fichero $UsnJrnl.

Recordemos la típica estafa del técnico de Microsoft. Supongamos que tenemos un usuario al que le pasa algo así. Lo que tendríamos que hacer es analizar su máquina, ya que el intruso se conectaba de forma remota con una herramienta sumamente elaborada. Una vez dentro del sistema, el intruso se descargó any desk. A través de los logs del any desk, fue posible mirar desde qué hora hasta qué hora esa persona estuvo conectada a la máquina.

Para ver qué había hecho el intruso, entre otras cosas, o a qué información había accedido, con la MFT lo que se hizo fue filtrar los ficheros por fecha de modificación entre la hora en la que se accedió y la hora en la que se fue. En este caso, con esto se pudo ver un listado de los ficheros que el intruso había estado viendo y que había hecho un volcado de todas las contraseñas que tenían en Chrome a un fichero de texto, entre otras cosas. Dentro de los logs de any desk también se pudo ver desde dónde se conectó el intruso, gracias a su IP.

Todo esto fue posible gracias a esta herramienta de análisis del fichero $UsnJrnl.

Aspectos a tener en cuenta con el fichero $UsnJrnl

Con el fichero $UsnJrnl hay que tener en cuenta que, cuando pasa por la papelera de reciclaje, no se borra el fichero, sino que cambia de carpeta. En el momento del vaciado es cuando se borra realmente. Este borrado se produjo desde CMD y nunca pasó por la papelera de reciclaje.

¿Cómo aprender más?

Ya hemos visto qué es y cómo analizar el fichero $UsnJrnl. Si quieres seguir aprendiendo sobre distintas áreas de la seguridad informática, aquí tenemos la formación intensiva e íntegra ideal para ti. Accede ya a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en profesional IT en pocos meses. ¡Pide información ahora para cambiar tu vida!