Unidad 1: fase 2 - Aplicación de metodologías para la recolección de

información

Andres Vasquez
Alvaro Isidro Tovar Salazar
Jose Luis Gómez Villamil.
Julian Andres Suarez
Mayo 2020.

Universidad Nacional Abierta y a Distancia.

Escuela de ciencias básicas, tecnología e ingeniería.
Informática Forense
 Tabla de Contenidos ii

Introducción .................................................................................................................................... 1
Objetivos ......................................................................................................................................... 2
Capítulo 1 Registro de Windows .................................................................................................... 3
Capítulo 2 Información del registro .............................................................................................. 28
Capítulo 3 Rastreo de la ejecución................................................................................................ 55
Capítulo 4 Tipo de incidentes de seguridad .................................................................................. 58
Capítulo 5 Informe de incidente ................................................................................................... 61
Conclusiones ................................................................................................................................. 62
Lista de referencias ....................................................................................................................... 63
 1
Introducción

La informática forense es muy importante para poder garantizar la seguridad informática

de toda los datos, ya que por este medio podemos realizar diferentes técnicas de auditoria,

custodia de manera correcta, crear imágenes como de pruebas digitales y esto buscando siempre

desde el punto de vista forense tener todas las herramientas necesarias para poder garantizar la

auditoria correcta de un caso específico y una incidencia de vulnerabilidad de la información

desde un punto más técnico legal.

 Objetivos 2

 Identificar y analizar desde una máquina externa los datos de la maquina atacada.

 Identificar y reconocer algunas herramientas forenses como FTKImager, Autopsy y

Exiftool

 Identificar e instalar una máquina virtual para análisis del problema propuesto Digital

Free

 Identificar y reconocer información volátil y no volátil

 Capítulo 1 3
Registro de Windows

Todo el registro de Windows con la información solicitada individualmente,

complementarse con los compañeros de grupo aquella información que no tengan en común.

1. Descargar e instalar una máquina virtual (VirtualBox o VMware Player)

2. Descargar el sistema operativo Windows 10

 4

3. Instalar el sistema operativo Windows 10 dentro de la máquina virtual, se prefiere que las
capacidades sean mínimas de 60 gigas de espacio en disco y de 2 gigas de ram a 2
procesadores, con tipo de tarjeta de red bridge o tipo puente.
 5

4. El sistema operativo debe tener un usuario con el apellido del estudiante y una contraseña
de la capacidad mínima permitida de la instalación del sistema operativo 6 con el nombre
del estudiante, que no pase de 6 dígitos.
 6

5. Ya iniciado el Windows deben instalar al Windows 10 lo siguiente: • Winrar

• MSOffice versión mínima 2013
• FOXIT
• Mozilla FireFox
• NO INSTALAR ANTIVIRUS

6. Descargar el KMSpico cualquier versión desde la 10.0, tener cuidado, e instalarlo dentro
del Windows.
 7
7. Debe descargar 10 archivos dentro de mis documentos y abrirlos, estos archivos son: 2
excel, 4 docs, 2 txt y 2 pdf, de los cuáles deben borrar 3 de los documentos.
8. Asignar una IP estática con el número del portátil del gerente. 8

9. Deben navegar en Firefox y en Edge o internet explorer de mínimo 10 páginas web e

ingresar a una cuenta de correo y enviar 2 correos.
 9

1. Realizar una captura mediante el FTK Imager del disco duro completo de la máquina
virtual, esto crea una imagen bit a bit, este debe estar instalado en la máquina virtual.

Se instala el software FTK imager en una memoria USB y se ejecuta, se utiliza una micro SD de
64 GB representada como la unidad F:
 10

Se guarda como Imagenforensefase2:

Se obtiene los siguientes HASH:

MD5: 9dac984acd3cd1ee25cefea8bd9cc3dd
SHA: bf0ef885635362f89487b08ac0a2e479940cd6
11
1.1. Figura No. 01. Instalación FTK Imager Lite 3.1.1 desde SDHC para iniciar con la captura de imagen del DD. 12

1.2. Figura No. 02. Selección del destino de la imagen generada por FTK Imager Lite
1.3. Figura No. 03. Avance del proceso de creación de imagen con FTK Imager Lite. 13

1.1. Figura No. 04. Terminación del proceso y su respectivo MD5 Hash.
 14

2. Para la revisión de la imagen virtual se usa la herramienta Autopsy.

Se instala el software Autopsy con el que se realiza el análisis de la imagen del disco duro:
Se genera un caso nuevo y se monta la imagen del disco duro a la que se le realiza el análisis: 15

Se evidencian varias cosas en el análisis de autopsy como:

Todos los archivos del sistema

Documentos comprimidos cifrados KMSpico.zip:

 16

Imágenes:
17
18
Se evidencian los tres archivos eliminados: 19

Se evidencian los sitios en los que se navegó

 20

Figura No. 06. Inicio del proceso con el Software Autopsy

Figura No. 07. Avance del 52% del análisis Autopsy

Figura No. 08. Avance del 84% del análisis Autopsy

 21

Figura No. 09. Recopilación Caso Quaility por Autopsy

 22

Figura No. 11. Vista Caso Quaility por Autopsy

3. Para análisis de Metadata usar exiftool.

Figura No. 12. Instalación Exiftool

 23

Figura No. 13. Paso de instalación Exiftool

Figura No. 14. Análisis metadatos de los archivos recuperados con Teskdisk
 24

Figura No. 15. Análisis metadatos de los archivos recuperados con Teskdisk

Figura No. 16. Análisis metadatos de los archivos recuperados con Teskdisk.
 25

Figura No. 17. Exiftool menú

4. Se obtiene evidencia de toda la información no volátil solicitada Utilizando el

documento referencia Windows Forensics I – Chapter 4 del documento EC-
Council – Computer Forensics:
26
27
 28

Capítulo 2
Información del registro

La información del registro de Windows según el documento de lectura.

Examining File Systems

29
 30

Registry Settings
31
Event 32

Esto se hizo con la herramienta Full Event Log View, desde una USB externa.
Index.dat File 33

Esto se hizo con la herramienta Browsing History View, desde una USB externa.
Connected Devices 34

Esto se hizo con la herramienta USBDeview, desde una USB externa.

Slack Space 35

Herramienta: DriveSpy
Swap File 36

Windows Search Index

37
Hidden Partitions 38

Esto se hizo con la herramienta HDDScan, desde una USB externa.

Hidden ADS

Esto se hizo con la herramienta alternate stream view, desde una USB externa.
39
 Extraer la lista de todos los documentos docs y derivados, PDFs y txt incluyendo 40
los eliminados.

Figura No. 43. Listado de Archivos .doc y .xls

Extraidos Autopsy

Figura No. 44. Listado de Archivos .pdf

Extraidos Autopsy
 Figura No. 45. Listado de Archivos .txt 41
Extraidos Autopsy

Figura No. 46. Listado de Archivos .rft Extraidos

Autopsy
Figura No. 47. Proceso de Recuperacion 42
Informacion Testdisk

Figura No. 48. Proceso de Recuperacion

Informacion Testdisk
Figura No. 49. Proceso de Recuperacion 43
Informacion Testdisk

Figura No. 50. Proceso de Recuperacion

Informacion Testdisk
 44

Figura No. 52. Proceso de Recuperacion

Informacion Testdisk
 45

Figura No. 54. Proceso de Recuperacion

Informacion Testdisk
 46

Se obtiene el listado de los documentos Docs, pdf y txt:

Office
20200516100354.csv
 47

PDF
20200516100129.csv
 48

Plain Text
20200516100717.csv
 49

Se extraen los 30 archivos entre PDF. DOC y txt para analizar la metadata:
 50

Se instala Exiftool

Se obtiene la metadata de los 30 archivos extraídos de la imagen del disco:

 51

Allí se listan los 30 archivos de la carpeta Metadata donde tengo el Exiftool:

 52

Se ejecuta el comando exiftool -lang es -t (ruta del archivo) > (nombre del Txt en el que se va a

guardar la metadata)
 53

Se obtiene la metadata de los 30 archivos:

 54

MetadataWrapper.t MetadataWDAGPla MetadataTriangle MetadataSOLVSAM MetadataSign MetadataRar.txt

xt ceholder.txt Stamp(Blue).txt P.txt Here.txt

MetadataPROTTPLV MetadataPROTTPLV MetadataPretarea - MetadataPlaneacio MetadataOneConn MetadataOctagon

xls.txt .txt Justificar conceptos ndesemanal de estudio.txt
Seguridad ect.DiscoveryNotificationTask05_12_19_52_26_2896.txt
Informática.txt Stamp(Purple).txt

MetadataMsoIrmPr MetadataMETCONV MetadataLicense.txt MetadataKeys.txt MetadataInfografia MetadataInfografía

otector.txt .TXT .txt con ruta de aprendizaje del curso.txt
 55

Metadataindex.txt MetadataHash.txt MetadataEXCEL12.t MetadataEnsayo - MetadataEllipse

xt Andrés Vásquez.txt Stamp(Green).txt

MetadataDynamic MetadataCircle MetadataArrow MetadataAndrés MetadataAccessMe Metadata1.txt

Stamps.txt Stamp(Blue).txt Stamp(Blue).txt Vasquez - Establecer ssageDismissal.txt
Estándares y elementos de la seguridad informática.txt

Metadata.0.0.filtertr
ie.intermediate.txt

Capítulo 3
Rastreo de la ejecución

Demostrar el rastreo de la ejecución del archivo usado según el gerente el cual se halló dentro
del portátil; ¿Dónde se guarda?, ¿Cómo se ejecuta? Y ¿Qué modifica dentro del sistema
operativo de Windows 10?

1.1. Figura No. 01. Ruta donde se instala el KMSpico en Windows 10

1.2. Figura No. 02. Ruta donde despliega archivos para la instalación del KMSpico.
 56

En esta ruta se instalan los archivos C:\Windows\SECOH-QAD.dll y C:\Windows\SECOH-QAD.exe

1.3. Figura No. 03. Scripts de ejecución en segundo plano en Windows 10.

Este Virus KMSPico tipo troyano, está diseñado para infiltrarse sigilosamente en la

computadora de la víctima y permanecer en silencio, por lo que no hay síntomas

particulares claramente visibles en una máquina infectada, su forma de propagarse es

mediante archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea,

 ingeniería social o grietas de software. Su función es el robo de información bancaria, 57

robo de contraseñas, robo de identidad y a la vez agrega la computadora de la víctima a

una botnet, para posteriormente ser controlada remotamente.

a. Figura No. 04. Scripts que general KMSpico.

Los archivos que se listan a continuación hacen parte de la instalación que realiza el

virus en el sistema operativo de Windows.

1. Secoh- 2. AutoPico.exe 3. Service_KMS. 4. unins000.exe 5. KMSELDI.e

qad.exe exe xe

6. UninsHs. tap-windows-9.21.0.exe

exe

b. Figura No. 05. Modificaciones que realiza KMSpico en Windows

A continuación se plasman algunos cambios que realiza el virus en el Sistema operativo

de Windows 10:

Windows Registry Editor Version 5.00

 58
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Defender\Exclusions\Processes]
"C:\\Program Files\\KMSpico\\AutoPico.exe"=dword:00000000
"C:\\Program Files\\KMSpico\\KMSELDI.exe"=dword:00000000
"C:\\Program Files\\KMSpico\\Service_KMS.exe"=dword:00000000
"C:\\Windows\\SECOH-QAD.exe"=dword:00000000

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"EnableSmartScreen"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"SmartScreenEnabled"="Off"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:00000000

Capítulo 4
Tipo de incidentes de seguridad

Mínimo 5 propuestas de respuesta ante este tipo de incidentes de seguridad, parches,

políticas entre otros.

Con base en los incidentes de seguridad presentados en la ONG Digital Free, es claro que se

debe robustecer el ambiente de seguridad, a continuación, se realizan recomendaciones que

ayudarán a la organización a lograr este objetivo, las recomendaciones indicadas están basadas

en el marco de aseguramiento CIS Controls v7:

1. Digital Free permite que los trabajadores utilicen la plataforma tecnológica para trabajar

y para el ocio, adicionalmente, cuenta con una política interna de licenciamiento de

software ya que tiene licencias de Windows 10 originales instaladas en los portátiles de

los trabajadores, no obstante, no se cuenta con controles técnicos que prohíban la

instalación de software no autorizado en los equipos.

 Se recomienda implementar un control de administración de privilegio de59

administrador en los equipos de la compañía a fin de que no se pueda instalar ni ejecutar

software no autorizado, en Windows 10 es posible configurar dichos permisos a nivel de

directorio activo.

Adicionalmente, es recomendable instalar un antivirus y realizar la actualización

de la base de datos de virus a diario, según las actualizaciones brindadas por el proveedor

a fin de identificar malware que ingrese a los equipos y evitar su ejecución.

2. El problema del licenciamiento del Windows se presentó en el pc del Gerente lo que

quiere decir que fue un ataque dirigido a un cargo gerencial, el Gerente no conocía el

malware instalado y reportó la falla lo que indica pudo ser un ataque por medio de

phishing.

Es recomendable realizar capacitación a los trabajadores de la compañía para que

tengan en cuenta consejos como:

- Solo se debe descargar software gratuito de sitios conocidos en los cuales se confía.

- No se deben abrir correos electrónicos sospechosos, aún si vienen de personas que se

encuentren en la lista de contactos conocidos.

- Nunca se debe hacer clic en enlaces incluidos en un correo electrónico; es mejor

cerrar el correo electrónico e ir directamente al sitio de Internet de la organización.

- Reportar todo correo electrónico que cuente con esas características al personal de

seguridad de la información de la compañía.

 Es recomendable utilizar un servicio antispam a fin de bloquear los correos60

electrónicos no deseados antes de que lleguen al buzón de los colaboradores.

3. Dado que se realizaron escaneos de puertos y revisiones de la red a los cuales el

Administrador no le prestó atención y los pasó por alto, es recomendable implementar

un sistema de gestión de información de seguridad y eventos (Security Information and E

vent Management ‐ SIEM) o una herramienta de análisis de registros para la correlación y

el análisis de los registros, también se debe robustecer el procedimiento de monitoreo en

el que todo evento reportado sea analizado y se tomen las acciones pertinentes una vez se

identifique si es un ataque a la organización.

4. Se recomienda cerrar todos los puertos TCP y UDP a excepción de los que estén

utilizando las aplicaciones de la organización y monitorearlos a fin de que nadie se pueda

utilizar los puertos abiertos para generar conexiones remotas, o acceder a los sistemas de

la organización.

5. Se recomienda segmentar las redes por cada área de la empresa a fin de evitar posibles

ataques desde equipos internos de la organización, también se recomienda utilizar doble

factor de autenticación en los computadores a fin de confirmar que únicamente las

personas que están accediendo a los equipos son las autorizadas para realizarlo, ya sea

por medio de algo que se tiene, como la clave generada por un token, algo que se sabe,

como una contraseña la cual debe ser robusta con caracteres especiales, mayúsculas,
 minúsculas, signos, longitud de mínimo 8 caracteres y/o por algo que se es, lo que61

puede ser la huella dactilar de la persona, un dato biométrico.

Capítulo 5
Informe de incidente

Describir que pudo haber sucedido para que sucediera este incidente.

Lo más seguro es que el objetivo del ataque fue dirigido al Gerente para obtener

información privilegiada, seguramente a través de Phishing donde se envió un correo electrónico

bien estructurado capaz de ganarse la confianza del Gerente para que ejecutara el documento

adjunto el cual contenía el malware, se pudo ejecutar el malware dado que no se tiene un

antivirus con la base de datos actualizada y la ausencia de políticas que restrinjan los permisos de

administrador en los equipos de la organización.

Por otra parte, en el robo de listas de usuarios de una base de datos hecha en MYSQL se

identifica que el atacante utilizó técnicas de footprinting para hacer el descubrimiento de la red,

por medio de un escaneo de puerto, donde identificó puertos no asegurados por medio de los que

pudo acceder a la red, luego de esto, utilizó una herramienta sniffer para leer el tráfico de red por

medio del cual tuvo acceso a las credenciales de los computadores de los desarrolladores que

contenían la información de la base de datos.

 Conclusiones 62

Las técnicas de informática forense son muy importantes en el desarrollo

de un experto en seguridad informática ya que dan un punto desde el control y

la auditoria para utilizar herramientas específicas de análisis de información

dentro de un marco legal.

Los procedimientos son claves y se deben seguir para garantizar una

informática forense exacta y de gran utilidad en la recolección de pruebas

informáticas digitales.
 63
Lista de referencias

Extraction of forensic evidences from windows volatile memory. (2017). 2017 2nd International

Conference for Convergence in Technology (I2CT), Convergence in Technology (I2CT),

2017 2nd International Conference For, 421. Páginas 1-5. Recuperado de https://doi-

org.bibliotecavirtual.unad.edu.co/10.1109/I2CT.2017.8226164

Cano, Y., (2015). Descubriendo los rastros informáticos 2da Edición. No disponible digital.

Recuperado de https://www.alfaomega.com.co/computacion-forense-descubriendo-los-

rastros-informaticos-2-edicion-5573.html

Cabrera, H., (2013). Recolección de evidencia. Recuperado

de https://drive.google.com/a/unad.edu.co/file/d/0Bzz5sZfvr5uedE1HcC1NcmRXWFk/vi

ew?usp=sharing

McClure, S., Scambray, J., & Kurtz, G. (2010). Hackers 6: secretos y soluciones de seguridad en

redes. McGraw-Hill Interamericana.

Center for Internet Security (CIS). (2019). CIS CONTROLS VERSIÓN 7.1, Rescatado de:

https://learn.cisecurity.org/cis-controls-download

James, L. (2005). Phishing Exposed. Rockland, MA: SYNGRESS.