La importancia de la memoria RAM en el análisis informático forense

Cuando hablamos de análisis informático forense, nos referimos a cualquier recolección de información en una máquina, donde se pueda encontrar información útil para una investigación. Algunos de los pasos de recolección que se llevan en un análisis forense, son recoger datos de diversas máquinas de la red, cualquier información encontrada los equipos que sean de importancia, recoger información de los discos duros de las máquinas, y también se recoge información de las memorias RAM.

La memoria RAM es una memoria volátil o dinámica que se usa para almacenar datos e instrucciones que se requieren para el proceso de ejecución de un programa. Esta memoria tiene ciertas particularidades que la hacen diferente de su homóloga la memoria ROM. La más destacada es, precisamente, su volatilidad. Esta memoria es efímera, por lo que se almacena durante poco tiempo en el equipo. Al ser una memoria volátil, en el momento en que la máquina se apaga, todo lo almacenado en la memoria RAM desaparece, y no se puede recuperar de ninguna forma.

La memoria RAM es la memoria que está en la máquina y que se utiliza para guardar las variables, los programas y todo tipo de datos que se necesitan para su correcto funcionamiento. En el momento en que un programa se ejecuta, todos sus datos se guardan en la memoria RAM.

Cuando se accede a la memoria RAM de un ordenador se pueden encontrar muchos más artefactos que en otros lugares, como por ejemplo en el disco duro.

En ella podemos encontrar diversos datos que son de interés en el ámbito del análisis informático forense: puertos de comunicaciones abiertos en el sistema, claves de cifrado que se escriben en memoria durante la ejecución de los programas que las utilizan, etc.

La memoria RAM suele ser uno de los primeros sistemas en que se pueden encontrar artefactos relacionados con un ciberataque.

Esto sucede por varias razones: Se necesita recuperar información de los hechos que han sucedido en un ciberataque concreto, y en la memoria RAM se encuentra la mayoría de los detalles sobre los procesos que han estado activos y los procesos que han estado accediendo a la memoria.

Es un recurso muy rápido en lo que adquisición se refiere, ya que para poder acceder a la memoria RAM hay que tener acceso a un equipo físico, y por lo tanto no existe ningún inconveniente en realizar este tipo de investigación, que es posible realizarlo insitu.

Sin embargo, es necesario que, en el momento en el que se tiene conocimiento de que ha sucedido un ciberataque, una de las últimas cosas que se deben hacer es apagar los equipos implicados, ya que esto podría suponer la pérdida de este tipo de evidencias, ya que, como se ha señalado anteriormente, la memoria RAM sólo almacenará datos cuando el sistema esté encendido.

Algunos tipos de malware actuales se ejecutan en la memoria RAM, por lo que, para poder detectarlo y analizar su comportamiento, es importante analizar una copia de la memoria volátil del equipo donde se detectó la actividad sospechosa. Pero primero será necesario realizar el proceso de adquisición.

Para poder hacer un dump de la memoria (volcado de memoria) existen varias herramientas que nos ayudarán a conseguirlo. Siempre es recomendable, como en todo proceso de adquisición, utilizar aquellas que hayan sido probadas previamente y que el investigador se sienta cómodo utilizándolas, habiendo comprobado su correcto funcionamiento.

Una vez adquirida, es necesario proceder a la siguiente fase, la de análisis.

Para el análisis de dicha memoria, existen varias posibilidades de distintos softwares enfocados a este tipo de investigaciones, siendo quizá la herramienta más conocida Volatility.

Volatility es una herramienta forense de código abierto para la respuesta a incidentes y el análisis de malware. Está escrito en Python y es compatible con Microsoft Windows, Mac OS X y Linux. Esta herramienta contiene toda una serie de comandos que permiten al investigador ir recorriendo los datos almacenados en la memoria en busca de posibles anomalías. Es posible recoger información sobre diversos elementos tales como escanear los puertos abiertos y la lista de conexiones, buscar el historial de comandos ejecutados, mostrar información sobre dispositivos, ver información sobre los diferentes procesos, etc.

Uno de los elementos clave a la hora de realizar un ejercicio forense sobre un equipo o red de equipos es la correcta adquisición y análisis de la memoria RAM, ya que esta almacena información que puede ser crucial en una investigación y que no puede ser adquirida por otras vías. Teniendo en cuenta su sensibilidad debido a que es un tipo de memoria volátil, es de vital importancia que el investigador conozca a fondo este tipo de procesos para evitar la pérdida de este tipo de evidencias. 

Ainoa Guillén González, coordinadora del Área de Ciberseguridad de Sec2Crime