Desarrollo Fase II

Desarrollar Trabajo Colaborativo 1

Presentado por:
Diana Marcela Cardona Cano
Christian Alexander Pinilla Ramos

Presentado a:
Ing. José Luis Alejandro Carrillo
Tutor

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática
Informática Forense
Pereira 28 de Mayo de 2020
 TABLA DE CONTENIDO

INTRODUCCION 3
1. Registro de Windows 4
2. Información del registro de Windows 9
3. Rastreo de ejecución archivo KMSpico 18
4. Propuestas ante este tipo de incidentes de SI 22
5. Posibles fallas ante este tipo de incidentes 24
CONCLUSIONES 25
BIBLIOGRAFÍA 26
 INTRODUCCIÓN

En la actualidad las tecnologías de la información constituyen un elemento indispensable

para el adecuado funcionamiento de las empresas; la utilidad de medios informáticos,
combinada con la globalización del internet y las redes, abre un escenario de oportunidades
para actos ilícitos o indebidos con propósitos de tráfico, robo, espionaje, sabotaje o
intrusiones no autorizadas en fin. Debido a esta situación surge la necesidad de
implementar mecanismos que brinden alternativas para el análisis de la información la cual
genere algún tipo de prueba o dato importante para cualquier tipo de investigación legitima.
Mediante esta actividad se busca obtener capacidades de análisis de la información volátil y
no volátil; con el fin de identificar alteraciones, datos claves y actividades realizadas dentro
de la máquina
 Informe Técnico Fase II

1. Registro de Windows
Para la fase dos, se procedió de manera individual desarrollar los siguientes puntos:
 Se configuro máquina virtual (VirtualBox).

 Se asigno el siguiente recurso a la máquina virtual: 61 GB de espacio en disco virtual y

de 2 gigas con tipo de tarjeta de red bridge.

 Se configuro dentro de la máquina virtual, el sistema operativo Windows 10.

 Se procedió a instalar los siguientes programas: Winrar, MSOffice versión 2013,

FOXIT, Mozilla FireFox, y KMSpico.
 Se procedió a descargar 10 archivos dentro de la carpeta “documentos” (2 excel, 4 docs,
2 txt y 2 pdf). Se borraron tres archivos de la lista.

 Se configuro IP estática. (La IP configurada fue la 192.168.0.12, dado que, la puerta de

enlace de mi router su antepenúltimo segmento es 0. Por tal razón, no configure la IP
192.168.1.12).
 Se procedió a navegar por las aplicaciones Firefox e internet explorer. Se visito 10
diferentes páginas web y se procedió a enviar dos correos electrónicos desde una cuenta
personal.

 Se realizo copia del disco duro virtual mediante la herramienta FTKimager.

 Se analizo la imagen creada en apoyo de la herramienta Autopsy.
Análisis mediante la herramienta Autopsy 4.14.0

Análisis generado mediante la imagen creada en el disco duro virtual.

2. Información del registro de Windows

Información NO volátil hallada en el disco virtual analizado

 Examining File Systems
 Registry Settings
 Event logs
 Index.dat File
 Connected Devices

 Slack Space
 Herramienta: DriveSpy

 Swap File
 Windows search index
 Hidden Partitions

 Hidden ADS
 Lista de documentos descargados y eliminados en la máquina virtual
Nota: Se visualiza más de los documentos eliminados dentro de la máquina virtual.

3. Rastreo de ejecución archivo KMSpico

Demostrar el rastreo de la ejecución del archivo KMSpico usado según el gerente el

cuál se halló dentro del portátil; ¿dónde se guarda?, ¿cómo se ejecuta? y ¿qué modifica
dentro el sistema operativo de Windows 10?
¿Dónde se guarda?

De acuerdo a la verificación mediante el programa Autopsy el cual nos arroja la

siguiente información de ubicación del archivo KMSpico y su archivo principal Secoh-
qad.exe: (El cual es un archivo ejecutable que podemos visualizar en el administrador
de procesos de Windows, ya que su misión es ejecutarse constantemente).

Ubicación Archivo KMSpico:

/
img_IMAGENV.001/vol_vol3/Users/compi/AppData/Roaming/Microsoft/Windows/R
ecent/KMSpico.lnk
Ubicación archivo Secoh-qad.exe: C:\Windows\SECOH-QAD.exe

Imagen de ubicación archivo KMSpico

Ubicación archivo principal Secoh-qad.exe

¿Cómo se ejecuta?

Antes que nada tenemos que aclarar que KMSpico es un programa ilegal que fue
desarrollado por ciberdelincuentes, con el fin de activar Windows sin costo. Al
momento de su descarga e instalación requiere la desactivación del antivirus y el
firewall (Windows defender), vulnerando la seguridad del sistema. KMSpico realiza su
funcionamiento de la siguiente forma: Emula un servidor KMS en la memoraría del
computador enviando datos ida y vuelta a Microsoft para lograr la activación de sistema
operativo y el office.

Funcionamiento del KMSpico

¿Qué modifica dentro el sistema operativo de Windows 10?

El KMSpico lo podemos identificar como un virus Troyano, ya que permanece

sigilosamente en el sistema y se ejecuta de forma continua. Visualmente lo que se
modifica dentro de Windows 10 es la activación del sistema operativo.

Según Meskauskas 2019. KMSpico en Windows 10. Ayuda a los usuarios a sobrepasar

las restricciones y obtener la oportunidad de usar Windows 10 sin ninguna restricción o
tasa. No obstante, los expertos en seguridad NO recomiendan descargar este programa,
ya que es ilegal. No importa que sus desarrolladores hayan estado declarando que no
puede ser detectado por Microsoft, ya que esto no es verdad. Puedes ser fácilmente
multado e incluso enviado a prisión por usar programas ilegales. Por el momento,
KMSpico Windows 10 está bloqueado por Windows Defender, por lo que se ofrece a
los usuarios a deshabilitar su protección a tiempo real. Esto es más que ridículo.

Máquina virtual activación de Windows

Activación de Office
 4. Propuestas ante este tipo de incidentes de SI

 Gestión de incidentes de seguridad de la información:

Establecer procedimientos corporativos para la gestión de incidentes de seguridad de la
información que permita mediante su institución, controlar los sucesos para la debida
gestión, intervención y aprendizaje sobre cada evento de seguridad que surja dentro de la
empresa. Esto, debería contemplar el siguiente proceso:
Evaluación de los eventos de seguridad de la información y decisiones sobre ellos.
Respuesta a incidentes de seguridad de la información.
Aprendizaje obtenido de los incidentes de seguridad de la información.
Recolección de evidencia.

 Auditorias sobre los sistemas operativos:

La organización debe establecer mínimo dos veces al año, auditorias sobre los sistemas
operativos para, contribuir a las políticas de seguridad que estos sistemas deberían
considerar tales como:
Usuarios estándar.
Licencias de Windows y Microsoft acordes con las llaves de uso, expiración y facturas.
Licencias de sistemas de información acordes con las llaves de uso, expiración y facturas.
Identificación de riesgos e incidentes de seguridad sobre los sistemas operativos.
Ejecución del antivirus.

 Gestión de licencias
Se debe realizar una gestión debida por parte de la organización, para incurrir en fallas que
derivan sanciones legales por el uso de software no licenciado.

Par evitar esto, la organización debe establecer procedimientos que incluya actividades
cuando sea necesario restaurar los sistemas de información, formatear los equipos
informáticos, gestionar debidamente las llaves de uso para activar las diferentes licencias
considerar y realizar seguimiento a las fechas de expiración de las licencias obtenidas.
 Realizar desinfección de la maquina

En ocasiones es muy complejo identificar qué tipo de software está haciendo daño al
sistema, aparentemente el programa KMSpico no realiza ningún daño en el sistema, pero en
realidad es un virus troyano que permanece sigilosamente oculto. La recomendación más
adecuada es realizar una desinfección dentro de la maquina ya sea manual o mediante la
instalación de herramientas de defensa, teniendo en cuenta que podemos lograr la
eliminación de este tipo de software malicioso de forma automática.

Herramientas y formas de desinfección:

Malwarebytes: Herramienta profesional para eliminar software malicioso de forma

automática, recomendada especialmente para KMSpico.

Bitdefender: Tiene antiphishing para protegernos mientras navegamos por webs

Windows Defender: Gran antivirus del sistema Windows, funciona a la perfección en

segundo plano.
Free eScan Anti-Virus Toolkit: ofrece protección en tiempo real y no hay necesidad de
instalar, simplemente ejecutarlo.
Eliminación manual: Esta forma de ultimación es un poco compleja ya que se necesita
identificar el nombre el software malicioso para poder empezar a eliminar archivos de
registro.

 Protección permanente del sistema

Uno de los principales problemas de ataques informáticos se producen al momento de la

desactivación del antivirus para realizar algún tipo de instalación de software; aunque en
ocasiones se manifiesta que estas herramientas no tienen ningún virus asociado, es una
información muy dudosa; las peticiones para desactivar soluciones antiespía indican la
distribución potencial de malware. Por esos motivos, la herramienta KMSpico no debería
usarse nunca. Windows y MS Office, debería activarse solo con claves auténticas
facilitadas por Microsoft. Así mismo la presencia de tales aplicaciones reduce
considerablemente el rendimiento del sistema. Por tanto, se recomienda comprobar
esporádicamente el estado del equipo en una protección antivirus o antiespía, con el fin de
mantenerse con el escudo de seguridad del sistema de forma permanente.
 5. Posibles fallas ante este tipo de incidentes

Para el evento descrito en la situación problemática a esta actividad, se podría considerar

dos escenarios:

 Desconocimiento por parte de las personas encargadas de activar las licencias en

los sistemas de información:
En algunos casos, se presenta este tipo de eventos por desconocimiento de parte de las
personas administradoras y encargadas de realizar la actividad puntual en lo que respecta, el
formateo y restauración de equipos existentes o, la puesta en marcha y funcionamiento de
los equipos de computo nuevos. Esto, se liga al poco entendimiento que poseen sobre los
derechos de autor asumiendo mediante lo expuesto, que el realizar actividades como la
activación de software sin licencia no va a tener alguna consecuencia sobre ello.

 Descargas de software sin el debido control

Muchas organizaciones no aseguran la integridad de sus sistemas operacionales mediante lo

cual, conceden privilegios a los usuarios sobre estos sistemas. Por lo anterior, la falta de
restricciones sobre la instalación de software permite que se pueda manipular dicho sistema
con una causal de gravedad, que se desproteja su equipo de cómputo, por descargas
desmandadas de archivos maliciosos que, sin lugar a duda, ponen en trance, la seguridad de
los sistema de información.
 CONCLUSIONES

Se identificaron diferentes estrategias para el análisis de los sistemas informáticos, las

cuales nos pueden ofrecer datos claves para algún tipo de investigación.

Se obtuvo conocimientos importes en temas de instalación de máquinas virtuales,

activación de sistemas operativos, e implementación de red tipo puente.

Mediante la extracción de la información no-volátil, se pueden obtener archivos,

acontecimientos, eventos claves que pueden facilitar el cumplimiento de la misión.
 BIBLIOGRAFÍA

Watson, J. (2008). Virtualbox: bits y bytes disfrazados de máquinas. Linux

Journal , 2008 (166), pág. 1.
Oracle, VM (2015). VirtualBox.
Pous, H. R., Ruiz, J. S., & López, J. L. R. (2009). Análisis forense de sistemas
informáticos. Catalunya: Universidad Oberta de Catalunya.
López, Ó., Amaya, H., León, R., & Acosta, B. (2001). Informática Forense: Generalidades,
aspectos técnicos y herramientas. Universidad de los Andes. Colombia.