Análisis Forense de la Master File Table (MFT) en Investigaciones DFIR con Velociraptor
1. Introducción
En los sistemas Windows modernos, el sistema de archivos NTFS constituye una de las fuentes de evidencia digital más ricas, persistentes y confiables para la investigación forense. En el núcleo de esta arquitectura se encuentra la Master File Table (MFT), una estructura fundamental que actúa como el registro maestro de todos los objetos que existen o han existido en un volumen. Desde la perspectiva del analista de Digital Forensics and Incident Response (DFIR), la MFT no es simplemente un índice técnico, sino una verdadera memoria histórica del sistema, capaz de reflejar con gran precisión la actividad de usuarios, procesos legítimos y actores maliciosos.
La MFT conserva metadatos críticos incluso después de que los archivos han sido eliminados, lo que la convierte en un artefacto de valor probatorio excepcional. A través de ella es posible reconstruir cadenas de infección, identificar fases de ejecución de malware, analizar mecanismos de persistencia y detectar intentos de encubrimiento o manipulación antiforense.
La integración de esta fuente con plataformas de nueva generación como Velociraptor permite ir más allá del análisis local tradicional, transformando la MFT en un componente activo dentro de operaciones de respuesta a incidentes y threat hunting a escala empresarial. De este modo, la tabla deja de ser un artefacto pasivo para convertirse en un sensor distribuido capaz de aportar visibilidad histórica profunda en cientos o miles de sistemas simultáneamente.
2. Estructura Interna de la MFT
Cada archivo o directorio gestionado por NTFS está representado por al menos un registro MFT de tamaño fijo, normalmente de 1024 bytes. Estos registros se componen de una serie de atributos estructurados que describen tanto las características lógicas como físicas del objeto. Entre los más relevantes para el análisis DFIR se encuentran:
$STANDARD_INFORMATION
Contiene los timestamps MACB primarios, atributos de archivo, identificadores de seguridad y banderas de estado. Es una fuente esencial para la construcción de líneas de tiempo y la detección de manipulación temporal.$FILE_NAME
Almacena el nombre del archivo, su relación jerárquica con el directorio padre y un segundo conjunto de timestamps, cuya comparación con los del atributo anterior resulta clave para identificar técnicas de timestomping.$DATA
Describe la localización de los clústeres físicos en disco o indica si el contenido reside de forma interna en el propio registro, lo que resulta relevante para la recuperación de fragmentos y el análisis de archivos pequeños o efímeros.$SECURITY_DESCRIPTOR
Proporciona información sobre listas de control de acceso (ACL), útil para investigar escalamiento de privilegios, accesos indebidos y movimientos laterales.$OBJECT_ID,$REPARSE_POINT,$EA
Atributos avanzados frecuentemente explotados por malware para persistencia, redirección de rutas, uso de enlaces simbólicos o técnicas de evasión.
Cada registro está identificado de forma única mediante un File Reference Number (FRN), lo que permite rastrear la vida completa de un objeto: su creación, renombrado, movimiento, eliminación y, en algunos casos, la reutilización del mismo identificador por nuevos archivos, aspecto crítico para la correcta interpretación temporal.
3. Valor Forense en DFIR
Desde el punto de vista de la respuesta a incidentes, la MFT proporciona capacidades analíticas que difícilmente pueden obtenerse de otras fuentes.
3.1 Reconstrucción Temporal Precisa
La existencia de múltiples marcas de tiempo asociadas a cada objeto permite al analista:
- Detectar alteraciones deliberadas mediante timestomping.
- Diferenciar entre fases de descarga, ejecución, persistencia y limpieza.
- Construir líneas de tiempo coherentes y defendibles en contextos periciales y judiciales.
La correlación entre los atributos $STANDARD_INFORMATION y $FILE_NAME, junto con otros artefactos del sistema, permite identificar anomalías temporales con alto grado de confianza.
3.2 Identificación de Malware Eliminado
Aunque los atacantes eliminen herramientas, scripts o binarios tras su uso, los registros correspondientes suelen permanecer en la MFT hasta ser sobrescritos. Esto posibilita recuperar:
- Nombres originales de cargas útiles.
- Rutas temporales empleadas para su ejecución.
- Tamaños y características de los ficheros.
- Evidencia de utilización de binarios legítimos del sistema (Living-off-the-Land Binaries, LOLbins).
Esta información resulta esencial para la atribución de herramientas, la reconstrucción de la cadena de ataque y el entendimiento de la fase de post-explotación.
3.3 Análisis de Técnicas Anti-Forenses
La comparación de la MFT con otros artefactos como:
- USN Journal
$LogFile- Prefetch
- Amcache
- ShimCache
permite identificar inconsistencias que delatan intentos de ocultación, tales como:
- Borrado selectivo y secuencial de archivos.
- Renombrados masivos para camuflar herramientas.
- Uso de Alternate Data Streams (ADS).
- Manipulación directa de estructuras NTFS.
4. Velociraptor como Plataforma de Explotación Forense de la MFT
Velociraptor introduce un cambio de paradigma al ofrecer:
- Adquisición remota, tanto en vivo como post-mortem, sin necesidad de acceso físico al sistema.
- Parseo nativo de estructuras NTFS, eliminando dependencias de herramientas externas.
- Lenguaje VQL, que permite automatizar análisis, correlaciones y procesos de threat hunting.
Artefactos especialmente relevantes incluyen:
Windows.NTFS.MFTWindows.Forensics.NTFSWindows.NTFS.UsnWindows.System.PrefetchWindows.Detection.Timestomp
5. Análisis Avanzado con VQL
La capacidad de correlacionar la MFT con el USN Journal mediante VQL permite reconstrucciones de actividad de gran precisión:
SELECT
m.Filename,
m.FullPath,
m.CreatedTime,
m.ModifiedTime,
m.EntryModifiedTime,
u.Reason,
m.IsDeleted
FROM Artifact.Windows.NTFS.MFT() m
LEFT JOIN Artifact.Windows.NTFS.Usn() u
ON m.FRN = u.FRN
WHERE m.FullPath =~ "(?i)temp|appdata|programdata"
ORDER BY m.CreatedTime ASC
Este tipo de consultas posibilita:
- Identificar cadenas completas de infección.
- Localizar directorios de staging utilizados por el adversario.
- Correlacionar creación, modificación y eliminación.
- Detectar ejecución efímera de cargas que ya no existen en el sistema.
6. Uso en Threat Hunting a Escala
Cuando se despliega en entornos corporativos, la MFT, analizada mediante Velociraptor, se convierte en un sensor forense distribuido, permitiendo:
- Búsqueda histórica de artefactos en múltiples endpoints.
- Detección de binarios renombrados o relocalizados.
- Identificación de persistencia encubierta.
- Descubrimiento de herramientas de post-explotación previamente eliminadas.
Esto habilita la respuesta a preguntas estratégicas como:
- ¿En qué sistema apareció por primera vez un determinado loader?
- ¿Qué hosts muestran evidencia de manipulación temporal en directorios críticos?
- ¿Qué archivos fueron creados y borrados inmediatamente antes de actividad de comando y control?
- ¿Qué patrones de limpieza utilizó el adversario tras completar sus objetivos?
La Master File Table no debe entenderse únicamente como una estructura técnica del sistema de archivos, sino como la memoria forense persistente de la actividad en Windows. En un escenario de amenazas cada vez más sofisticadas, caracterizado por ejecución en memoria, eliminación agresiva de evidencias y técnicas antiforenses avanzadas, la MFT permanece como una de las pocas fuentes capaces de conservar rastros objetivos, verificables y cronológicamente consistentes.
Velociraptor amplifica este valor al proporcionar capacidades de adquisición remota, análisis automatizado y correlación masiva, integrando la MFT de forma natural en flujos de trabajo de respuesta a incidentes y threat hunting.
Dominar el análisis de la MFT con Velociraptor equivale, en la práctica, a disponer de una capacidad de reconstrucción histórica de alta precisión, fundamental para la atribución, contención, erradicación y presentación de evidencia técnica con rigor pericial y validez operativa.
