Investigación Forense

Caso 3

Erick Pineda & Dilio Lizardo

Mayo 2019
 Unitec
Análisis Forense

Contenido
1. Introducción ........................................................................................................3
2. Creación del virus oculto .....................................................................................4
3. Ocultando en un instalador .................................................................................5
4. Abriendo Metaesploit .........................................................................................7
5. Resolviendo el caso con FTK Imager .................................................................. 10
6. Conclusiones ..................................................................................................... 15
7. Anexos ............................................................................................................... 16
 1. Introducción

En este caso se plantea demostrar como se puede realizar un backdoor usando msfvenom y así mismo poder ocultarlo
dentro de un archivo confiable para infectar a una víctima, para que este se conecte a una consola de Metaesploit y así
poder tomar control del equipo, también se simulara un borrado de archivos a la victima, y se demostrara como seria un
caso forense de recuperación de archivos mediante la herramienta FTK Imager.
 2. Creación del virus oculto
Se verifica la IP del equipo Kali Linux:

Se crea el archivo usando el comando msfvenom

El archivo fue creado con éxito

3. Ocultando en un instalador
En la pc cliente iniciamos el iExpress Wizard:
Se seleccionó el plugin de flash player y el backdoor:

El nuevo instalador con el backdoor fue creado:

 4. Abriendo Metaesploit
En la consola de Kali Linux abrimos la ventana de Metaesploit y configuramos las opciones del lhost y lport
Ahora se instala en la pc cliente el instalador con el backdoor:

La instalación finaliza normalmente sin sospechas

Vemos que en la consola de Metaesploit el cliente se ha conectado y tenemos línea de comandos

Entramos al Shell y listamos la carpeta confidencial, y luego eliminamos la carpeta “Factura Cablecolor Septiembre”
 5. Resolviendo el caso con FTK Imager
Tenemos como disco original el disco D, vamos a hacer una imagen de este para analizarla

El proceso de imagen se realiza correctamente

Se compara el hash de la imagen con el del disco y es el mismo
Se encontró que la carpeta “Facturas CableColor Septiembre” fue eliminada
Se procede a recuperar la información en la carpeta “recuperado del escritorio”
La información ha sido recuperada, 3 carpetas y 155 archivos
 6. Conclusiones

Efectivamente con msfvenom es posible crear un backdoor que permita una conexión a nuestra consola y tomar el
control, el éxito de esto depende de la complejidad que otorguemos a la creación del backdoor, la forma de ocultarlo y
la forma de hacer que el cliente lo ejecute.

En cuando a la recuperación de archivos, entre mas pronto se tome acción de esto, es mas probable recuperar los
archivos ya que al pasar mucho tiempo estos pueden ser sobrescritos, en esta prueba se lograron recuperar el 100% de
los archivos gracias a que se actuó inmediatamente.
 7. Anexos

Listado de archivos recuperados