Documentos de Académico
Documentos de Profesional
Documentos de Cultura
información
Andres Vasquez
Alvaro Isidro Tovar Salazar
Jose Luis Gómez Villamil.
Julian Andres Suarez
Mayo 2020.
Introducción .................................................................................................................................... 1
Objetivos ......................................................................................................................................... 2
Capítulo 1 Registro de Windows .................................................................................................... 3
Capítulo 2 Información del registro .............................................................................................. 28
Capítulo 3 Rastreo de la ejecución................................................................................................ 55
Capítulo 4 Tipo de incidentes de seguridad .................................................................................. 58
Capítulo 5 Informe de incidente ................................................................................................... 61
Conclusiones ................................................................................................................................. 62
Lista de referencias ....................................................................................................................... 63
1
Introducción
de toda los datos, ya que por este medio podemos realizar diferentes técnicas de auditoria,
custodia de manera correcta, crear imágenes como de pruebas digitales y esto buscando siempre
desde el punto de vista forense tener todas las herramientas necesarias para poder garantizar la
Identificar y analizar desde una máquina externa los datos de la maquina atacada.
Exiftool
Identificar e instalar una máquina virtual para análisis del problema propuesto Digital
Free
complementarse con los compañeros de grupo aquella información que no tengan en común.
3. Instalar el sistema operativo Windows 10 dentro de la máquina virtual, se prefiere que las
capacidades sean mínimas de 60 gigas de espacio en disco y de 2 gigas de ram a 2
procesadores, con tipo de tarjeta de red bridge o tipo puente.
5
4. El sistema operativo debe tener un usuario con el apellido del estudiante y una contraseña
de la capacidad mínima permitida de la instalación del sistema operativo 6 con el nombre
del estudiante, que no pase de 6 dígitos.
6
6. Descargar el KMSpico cualquier versión desde la 10.0, tener cuidado, e instalarlo dentro
del Windows.
7
7. Debe descargar 10 archivos dentro de mis documentos y abrirlos, estos archivos son: 2
excel, 4 docs, 2 txt y 2 pdf, de los cuáles deben borrar 3 de los documentos.
8. Asignar una IP estática con el número del portátil del gerente. 8
1. Realizar una captura mediante el FTK Imager del disco duro completo de la máquina
virtual, esto crea una imagen bit a bit, este debe estar instalado en la máquina virtual.
Se instala el software FTK imager en una memoria USB y se ejecuta, se utiliza una micro SD de
64 GB representada como la unidad F:
10
MD5: 9dac984acd3cd1ee25cefea8bd9cc3dd
SHA: bf0ef885635362f89487b08ac0a2e479940cd6
11
1.1. Figura No. 01. Instalación FTK Imager Lite 3.1.1 desde SDHC para iniciar con la captura de imagen del DD. 12
1.2. Figura No. 02. Selección del destino de la imagen generada por FTK Imager Lite
1.3. Figura No. 03. Avance del proceso de creación de imagen con FTK Imager Lite. 13
1.1. Figura No. 04. Terminación del proceso y su respectivo MD5 Hash.
14
Se instala el software Autopsy con el que se realiza el análisis de la imagen del disco duro:
Se genera un caso nuevo y se monta la imagen del disco duro a la que se le realiza el análisis: 15
Imágenes:
17
18
Se evidencian los tres archivos eliminados: 19
Figura No. 14. Análisis metadatos de los archivos recuperados con Teskdisk
24
Figura No. 15. Análisis metadatos de los archivos recuperados con Teskdisk
Figura No. 16. Análisis metadatos de los archivos recuperados con Teskdisk.
25
Capítulo 2
Información del registro
Registry Settings
31
Event 32
Esto se hizo con la herramienta Full Event Log View, desde una USB externa.
Index.dat File 33
Esto se hizo con la herramienta Browsing History View, desde una USB externa.
Connected Devices 34
Herramienta: DriveSpy
Swap File 36
Hidden ADS
Esto se hizo con la herramienta alternate stream view, desde una USB externa.
39
Extraer la lista de todos los documentos docs y derivados, PDFs y txt incluyendo 40
los eliminados.
Office
20200516100354.csv
47
PDF
20200516100129.csv
48
Plain Text
20200516100717.csv
49
Se extraen los 30 archivos entre PDF. DOC y txt para analizar la metadata:
50
Se instala Exiftool
Se ejecuta el comando exiftool -lang es -t (ruta del archivo) > (nombre del Txt en el que se va a
guardar la metadata)
53
Metadata.0.0.filtertr
ie.intermediate.txt
Capítulo 3
Rastreo de la ejecución
Demostrar el rastreo de la ejecución del archivo usado según el gerente el cual se halló dentro
del portátil; ¿Dónde se guarda?, ¿Cómo se ejecuta? Y ¿Qué modifica dentro del sistema
operativo de Windows 10?
1.2. Figura No. 02. Ruta donde despliega archivos para la instalación del KMSpico.
56
1.3. Figura No. 03. Scripts de ejecución en segundo plano en Windows 10.
Este Virus KMSPico tipo troyano, está diseñado para infiltrarse sigilosamente en la
Los archivos que se listan a continuación hacen parte de la instalación que realiza el
qad.exe exe xe
6. UninsHs. tap-windows-9.21.0.exe
exe
de Windows 10:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"EnableSmartScreen"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"SmartScreenEnabled"="Off"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:00000000
Capítulo 4
Tipo de incidentes de seguridad
Con base en los incidentes de seguridad presentados en la ONG Digital Free, es claro que se
ayudarán a la organización a lograr este objetivo, las recomendaciones indicadas están basadas
1. Digital Free permite que los trabajadores utilicen la plataforma tecnológica para trabajar
directorio activo.
de la base de datos de virus a diario, según las actualizaciones brindadas por el proveedor
quiere decir que fue un ataque dirigido a un cargo gerencial, el Gerente no conocía el
malware instalado y reportó la falla lo que indica pudo ser un ataque por medio de
phishing.
- Solo se debe descargar software gratuito de sitios conocidos en los cuales se confía.
- Reportar todo correo electrónico que cuente con esas características al personal de
el que todo evento reportado sea analizado y se tomen las acciones pertinentes una vez se
4. Se recomienda cerrar todos los puertos TCP y UDP a excepción de los que estén
utilizar los puertos abiertos para generar conexiones remotas, o acceder a los sistemas de
la organización.
5. Se recomienda segmentar las redes por cada área de la empresa a fin de evitar posibles
personas que están accediendo a los equipos son las autorizadas para realizarlo, ya sea
por medio de algo que se tiene, como la clave generada por un token, algo que se sabe,
como una contraseña la cual debe ser robusta con caracteres especiales, mayúsculas,
minúsculas, signos, longitud de mínimo 8 caracteres y/o por algo que se es, lo que61
Capítulo 5
Informe de incidente
Describir que pudo haber sucedido para que sucediera este incidente.
Lo más seguro es que el objetivo del ataque fue dirigido al Gerente para obtener
bien estructurado capaz de ganarse la confianza del Gerente para que ejecutara el documento
adjunto el cual contenía el malware, se pudo ejecutar el malware dado que no se tiene un
antivirus con la base de datos actualizada y la ausencia de políticas que restrinjan los permisos de
Por otra parte, en el robo de listas de usuarios de una base de datos hecha en MYSQL se
identifica que el atacante utilizó técnicas de footprinting para hacer el descubrimiento de la red,
por medio de un escaneo de puerto, donde identificó puertos no asegurados por medio de los que
pudo acceder a la red, luego de esto, utilizó una herramienta sniffer para leer el tráfico de red por
medio del cual tuvo acceso a las credenciales de los computadores de los desarrolladores que
informáticas digitales.
63
Lista de referencias
Extraction of forensic evidences from windows volatile memory. (2017). 2017 2nd International
2017 2nd International Conference For, 421. Páginas 1-5. Recuperado de https://doi-
org.bibliotecavirtual.unad.edu.co/10.1109/I2CT.2017.8226164
Cano, Y., (2015). Descubriendo los rastros informáticos 2da Edición. No disponible digital.
Recuperado de https://www.alfaomega.com.co/computacion-forense-descubriendo-los-
rastros-informaticos-2-edicion-5573.html
de https://drive.google.com/a/unad.edu.co/file/d/0Bzz5sZfvr5uedE1HcC1NcmRXWFk/vi
ew?usp=sharing
McClure, S., Scambray, J., & Kurtz, G. (2010). Hackers 6: secretos y soluciones de seguridad en
Center for Internet Security (CIS). (2019). CIS CONTROLS VERSIÓN 7.1, Rescatado de:
https://learn.cisecurity.org/cis-controls-download