Universidad Mariano Gálvez De Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad Informática

Metodologías para el análisis informático forense

Ing. Emilio Marroquín Guevara

Tarea 3

Elaboración de informe técnico

Sindy Paola Batz García 1293-15-07254

Yosselin Karina Yos Arias 1293-15-14950

Abner Gabriel Juárez Hernández 1293-16-22542

Heber Ariel Ramos Felipe 1293-06-19348

Christian Alessandro Paredes Barenos 1293-15-00354

Plan Diario Vespertino

Sección “B”

22 de julio de 2021
Antecedentes
En base a una solicitud generada por uno de los ministerios en la que nos proporcionaron
un equipo de cómputo de un delincuente que se hacía pasar por un agente de seguridad el cual
fue descubierto por tener relación con otra violación anteriormente cometida la cual estaba
siendo investigada. por lo tanto, nos indican que se sospecha que esta persona ha realizado la
instalación de un malware el cual puede causar daños reputacionales, extraer datos del
ministerio, interceptar paquetes en la red, inyección de SQL, ataques de denegación de
servicios, ataques de pishing, ataques de ingeniería social entre otros debido a que está en un
dispositivo dentro de la intranet de la institución. Además, se solicita total discreción para que
no se vea afectada la reputación de la entidad.

Recolección de los datos

En la recolección de datos primero se descargó la imagen del equipo infectado que nos
ha sido proporcionada, con el fin de no usar directamente el equipo y poder alterar la evidencia
que contiene. A continuación, se creó una copia de la imagen para poder empezar el análisis
con esto nos aseguramos de poder preservar la imagen original preservada por si existe algún
inconveniente volver a crear una copia de la imagen descargada. Después se realizó el análisis
de la copia de la imagen y se siguieron varias vías que evitaran el máximo de escrituras en el
disco, primero se siguieron los siguientes pasos:
1. Buscar si existen procesos activos, procesos ocultos y conexiones de red abiertas o
puertos en escucha, todo esto haciéndolo desde un volcado de memoria.
2. Volcar la memoria utilizando directamente la imagen del sistema sin arrancar la
máquina virtual.
3. Utilizando la herramienta Autopsy se abre la imagen, pero la herramienta no
reconoce la imagen por lo cual se convierte la imagen a otros dos formatos RAW
e IMG esto haciéndolo con la herramienta Gemu, pero Autopsy tampoco los
reconoce.
Debido a que ningunos de los pasos anteriormente mencionados funcionaron para
encontrar evidencias o algún malware que puede estar vulnerando el equipo se opta a seguir
otra estrategia y ejecutar programas desde la imagen ejecutada desde Virtual Box. Se siguen
los siguientes pasos:
 1. El equipo cuenta con el antivirus Avast que puede estar alterado y no arrojar
ninguna amenaza, pero se ejecuta sabiendo lo anterior expuesto y no muestra
ninguna amenaza.
2. Se buscan archivos de texto TXT y capturas de red PCAP, pero no se encuentra
nada.
3. Entonces se busca directamente en los directorios del sistema como lo son
System32, Windows, entre otros. Pero no se encuentra ningún malware y se ve que
existe un problema en el sistema de archivos lo que puede estar generando que los
pasos anteriormente ejecutados no funcionaran.
4. Se reinicia el equipo y se puede ver que aparecen los archivos y que el error se
solucionó.
5. Al volver a ejecutar el paso 2 se encuentra un log con los archivos
logs_honeypot_VoIP.txt y VoIP attack.pcap.
6. Al ejecutar el paso 1 se encuentra un malware que se encuentra en la ruta
C:\WINDOWS\system32\txu_Ng_0.exe.
Con esto se puede determinar que existe un malware de tipo troyano que fue ejecutado
el día 08/04/2011 a las 17:54:23. También se encuentran los procesos que se están ejecutando
con este malware y que existen logs que capturan cadenas desde memoria.

Descripción de la evidencia
La evidencia del caso por ser una máquina virtual la cual se realizó el análisis forense
nos brindó la imagen del disco duro que utilizaba por lo que se duplica está para poder tener
una copia intacta en caso que se llegase a tener algún inconveniente o problema cuando se
realice el proceso del análisis.
Cuando ya se tiene el equipo funcionando se toma en cuenta que el sistema operativo a
analizar es un Windows XP con el service pack 3, es importante mencionar que la última
actualización de seguridad lanzada para este sistema fue en abril 2008 por lo que es un equipo
que si el ciber delincuente lo analizo para poder tomar en cuenta sus vulnerabilidades.

Entorno de análisis
El entorno de trabajo se direcciono en una imagen del equipo que se compartió y se
descargo para luego obtener una copia de la misma y sobre ella empezar a trabajar, se tuvo que
montar la imagen para poder virtualizarla y empezar a analizarla por medio de herramientas
que van desde el volcado de memoria, hasta la captura de trafico de red. Se tenían los recursos
necesarios y suficientes para poder hacer el análisis y obtener todas las evidencias del caso, se
trabajo de esta forma ya que si existe algún accidente cuando se esta analizando el equipo se
preserven los datos del equipo original, además de poder evitar el riesgo que se sufra un ataque
cuando se está haciendo el análisis y alterar la información.

Descripción de las herramientas

En este caso puntual se requiere examinar una imagen de disco duro por lo que nuestro
equipo considero que es de gran utilidad poder realizar la herramienta Oracle VM VirtualBox
o conocida generalmente VirtualBox, debido a que este tiene una licencia GPLv2, es decir
Licencia Pública General de GNU versión 2, lo que nos permite hacer uso de la misma sin tener
que realizar un desembolso económico.

VirtualBox es básicamente un software de virtualización de arquitecturas x86/amd64,

por medio de esta se pueden realizar instalaciones de otros sistemas operativos conocidos como
sistemas invitados dentro de un sistema operativo denominado anfitrión, cada uno con su
propio ambiente.
 Se necesitó realizar un volcado de la imagen de disco duro que nos brindaron por lo tanto
se tiene que cargar el archivo y no se debe iniciar la máquina virtual solo únicamente se debe
de ejecutar la opción en consola de comandos o símbolo del sistema la cual tiene VirtualBox.
El software Autopy es otro del que se utilizó ya que este simplifica la implementación de otros
programas complementarios para la búsqueda de evidencias, lo que facilita a los investigadores
a marcar las secciones de datos pertinentes. Una de sus principales funciones es el análisis
forense de imágenes de discos duros la cual funciona en múltiples sistemas operativos.
En este software se trabaja a través de casos que precisan del análisis digital forense entre
estos podemos mencionar: estafas, robos de distintas índoles, malware, suplantación de
identidad, etc.

El software QEMU el cual es un emulador y virtualizador genérico de procesadores

basado en la traducción dinámica de binarios, esta conversión es importante mencionar que se
realiza del código de la arquitectura de la máquina fuente en código entendible por la
arquitectura huésped.
Cuando se hace uso de esta herramienta es necesario que el sistema donde se ejecuta es
decir la máquina huésped como la máquina invitada utilicen procesadores compatibles x86. En
otros casos es requerido un acelerador denominado KQEMU, además también soporta
hipervisores como XEN server o el módulo KVM en linux. El objetivo principal de esta
herramienta es emular o virtualizar un sistema operativo dentro de otro sin tener que
reparticionar el disco duro, al igual que virtualbox aunque tienen pocas diferencias.
 Se realizó un análisis para detectar virus la máquina ya contaba con uno instalado el cual
es Avast es te es un software antivirus y conjunto de seguridad de la empresa ubicada en la
república checa, la cual cuenta con una licencia freeware y software propietario, esto quiere
decir que el software se distribuye sin costo, pero tiene restricciones de copyright ya que el
código no se puede modificar ni vender ya que es del propietario.
 Se tenía instalado en el disco también la herramienta Packet Capture o PCAP el cual es
una aplicación que captura los paquetes en la red en vivo de las capas 2 a la 7 del modelo ISO.
Los analizadores de red crean archivos .pcap para recopilar y registrar datos de los paquetes de
la red aunque no solo ese formato se manera también utiliza Libpcap, WinPcap y PCAPng.
Estos archivos pueden ser utilizados para analizar paquetes de red de tipo TCP/IP y también
UDP.
Análisis de la evidencia
1. Información del sistema analizado
a. Características del SO
El sistema operativo que fue ejecutado desde la máquina virtual fue Windows XP
service pack 3 que tiene las siguientes características:
• Actualización de Windows Update a Microsoft Update
• Consola Microsoft Management Console 3.0 permitiendo la administración
de dispositivos, administrador de equipos, desfragmentador de discos, visor
de sucesos, Microsfot Exchange Server, Diskeeper, entre otras
funcionalidades.
• Microsoft XML core Service – MSXML6 que tiene como funcionalidad de
permitir a aplicaciones que fueron creados por lenguajes como JScript,
VBscript y .Net Framework crear aplicaciones nativas en XML.
• Microsoft Windows Installer 3.1 Versión 2 que actualiza todas las
aplicaciones de Windows y todas sus aplicaciones.
• Background Intelligent Transfer Service 2.5 – BITS, es un servicio de
Windows que permite la gestión de transferencias asincrónicas de archivos
entre distintos equipos que se encuentran en segundo plano.
• Digital Identity Management Service (DIMS) es otro servicio de Windows
que permite a los usuarios que inician sesión unidos a un dominio que puedan
acceder de forma silenciosa a todas las claves privadas y certificados para
aplicaciones y servicios.
• Peer Name Resolution Protocol – PNRP 2, protocolo de redes punto a punto.
• Wi-Fi Protected Acces 2 – WPA2
• Destrucción de agujeros negros en enrutadores también llamados ataques de
descartado de paquetes.
• Network Acces Protection – NAP.
• Opciones de seguridad descriptivas en el entorno de usuario.
• Mejor seguridad para el usuario Administrador y para el usuario Servicio.
• Microsoft Kernel Mode Cryptographic Module.
b. Aplicaciones
Las aplicaciones que se ejecutaron dentro en el equipo en el ataque son las siguientes:
 • txu_Ng_0.exe: es un ejecutable peexe para la arquitectura de Windows, con
un tamaño de 52KB y es de tipo PE32 ejecutable desde consola Intel 80386.
Permite el acceso remoto para leer claves y que tiene persistencia escribiendo
datos en un proceso remoto.
• svchost.exe: es el nombre genérico de un proceso legítimo de Windows que
siempre se está ejecutando en las tareas de Windows. Que es muy
frecuentemente utilizado en ataques para disfrazar archivos y procesos
maliciosos de legítimos usando nombres que se parecen a los nombres de los
procesos legítimos. Sin embargo, es un proceso muy importante del sistema
operativo que tiene alojado muchos servicios.
• Sipvicious: es un conjunto de herramientas utilizadas para auditar sistemas
de VoIP basados en el protocolo SIP. Las herramientas están basadas en
Python. Ofrece 5 herramientas para este tipo de auditorías las cuales son:
Svmap, svwar, svreport, svcrash.
c. Servicios
El servicio Call manager VoIP le fue modificado el nombre por el de un país. Esto
está relacionado a las herramientas que fueron ejecutados como lo es la herramienta
Sipvicious y poder hacerlo a través del protocolo SIP.
d. Vulnerabilidades
Debido al malware que fue implantado en el equipo se tuvieron muchas
vulnerabilidades en el equipo, permitiendo transmitir mucha información de manera
remota, como lo son claves, archivos, datos sensibles, entre otros. También tener
acceso a los sistemas VoIP que permite escuchar las llamadas que se hacen a través
de una red.
e. Metodología
La metodología utilizada para el análisis se puede dividir en 4 pasos:
• Primer paso es realizar la identificación de el o los equipos que pueden
contener evidencia.
• El segundo pase es preservar la evidencia y que no sufra daños tanto
accidentales como intencionales. Como se hizo en este caso que fue
descargar la imagen y después realizar una copia y sobre esa copia poder
hacer el trabajo del análisis.
 • El tercer paso es analizar la copia de la imagen que fue proporcionada y
encontrar las evidencias o la información necesaria.
• Y el cuarto paso es una vez se terminó la investigación y se pudo recabar
toda la información y evidencias necesarias, se realizó el reporte con todos
los hallazgos descubiertos.

Descripción de hallazgos
1. Huellas de intrusión
Dentro de las huellas que pudimos obtener y analizar están los logs de tipo PCAP y un
ejecutable que el antivirus detecto como malware en la ruta
C:\WINDOWS\system32\txu_Ng_0.exe el cual a su vez fue ejecutado otro llamado
svchost.exe, pero el txu_Ng_0.exe es el que fue detectado como malware ubicamos que
es un troyano el cual fue creado con fecha 08/04/2011 y este a su vez es un keylogger
lo que quiere decir que captura todas las pulsaciones por teclado durante la ejecución
analizando se encontró que guardaba un archivo de texto con extensión .log en una
carpeta C:\WINDOWS\system32\ y el archivo “practicalmalwareanalysis.log” tenía la
declaración en la que indica que el es culpable de estar intentando robar información,
de haber obtenido ciertos datos del tráfico de la red, y de tener acceso como admin al
administrador de llamadas de VoIP.
Adicionalmente, se ubicaron los archivos PCAP que fueron guardados en lo que se
analizó específicamente a detalle el paquete número 1279 en el que se puede obtener
las credenciales obtenidas en la conexión establecida. La última huella que confirmó
todo fue la descodificación de conversaciones VoIP en la que se obtuvieron dos audios
los cuales revelan cierta información, pero además de eso también mencionan la palabra
clave y el país correspondiente.
2. Herramientas usadas por el atacante
Dentro de las principales herramientas del ciber atacante están:
• Malware de tipo troyano.
• Keylogger
• SIPVicious
• Wireshark
 3. Alcance de la instrucción
El objetivo del atacante no llegó a darse a un cien por ciento de lo que buscaba sin
embargo consideramos que llegar a obtener cierta información de las vulnerabilidades
entre otras cosas consideramos que el alcance es bastante significativo porque es crítica
la información que obtuvieron.
4. El origen de ataque
Se dio desde la máquina de un empleado del área de seguridad del ministerio por lo que
es un ataque desde las mismas oficinas lo cual quiere decir que obtuvo información
sensible no sólo por medio del ataque sino también a través de los permisos que
manejan los agentes de seguridad de dicha institución.

Cronología de la instrucción
Los pasos que se fueron siguiendo en este caso son los idóneos para poder recabar toda
la información y evidencia para analizar el equipo. Se empezó con la obtención del equipo por
parte de un ministerio y que compartió la imagen del mismo, se eligió la ruta para la obtención
de la evidencia con la copia de la imagen que fue descargada y después se hicieron análisis por
medio de herramientas a la imagen sin tener que arrancarla con el virtualizador, pero todos los
análisis que se fueron ejecutando no dieron ningún resultado.
Entonces se tomo la decisión de poder ejecutar herramientas ya con la imagen arrancada
dentro del sistema operativo, lo cual al inicio tampoco no dio ningún resultado, pero se pudo
descubrir que existía un error en el sistema de archivos. Por lo que se reinició el sistema
operativo y se volvió a arrancar lo que soluciono el error, esto ayudo a encontrar una serie de
logs que daban información de las aplicaciones que fueron ejecutadas y el malware que
contenía el equipo.
Al encontrar todos estos logs y aplicaciones se pudo recabar la información y evidencia
que ayudan a tener el panorama de los hechos en el caso.

Recomendaciones específicas
Es recomendable que tomen en cuenta el actuar de los empleados de áreas críticas en los
equipos de la empresa esto quiere decir que deberían de tener una bitácora de qué aplicaciones
utiliza, hacia qué ambientes tiene accesos y que permisos tiene. Luego de obtener estas
bitácoras realizar auditorías con respecto a las actividades de los colaboradores en las máquinas
de la institución.
 Por otra parte, es indispensable que se tengan bien segmentadas las redes de la
organización porque posiblemente se vuelva a tener un ataque desde la red interna, pero si
desde este punto de acceso no tienen acceso a los servidores o IPs que quieren afectar no será
posible que el ataque llegue a desarrollarse de forma correcta.
Como última recomendación sumamente importante y que se requiere aplicación
inmediata a todos los colaboradores de la institución es que no puedan instalar aplicaciones en
los equipos de la organización solamente el personal autorizado y bajo un requerimiento por
parte del jefe del área que este lo requiera, por otra parte que el antivirus en este caso Avast
bloquee los puertos para que no sean utilizados y que nadie a excepción del personal autorizado
pueda hacer modificaciones en el antivirus para que con estas últimas recomendaciones se
cierre gran parte el riesgo a volver a tener un ataque de esta índole.
Referencias
Álvarez, J. (9 de 4 de 2008). infomicros. Recuperado el 24 de 7 de 2021, de infomicros:
https://infomicros.wordpress.com/2008/04/09/windows-xp-service-pack-3-
descripcion-y-caracteristicas/
Anónimo. (19 de 12 de 2019). byte-mind. Recuperado el 25 de 7 de 2021, de byte-mind:
https://byte-mind.net/sipvicious-utilidad-de-auditoria-para-sistemas-voip/
Ardita, J. C. (11 de 7 de 2007). cybsec. Recuperado el 24 de 7 de 2021, de cybsec:
http://www.cybsec.com/upload/ADACSI_Ardita_Analisis_Forense_Informaticov2.pdf
Delgado, M. L. (2 de 6 de 2007). oas. Recuperado el 25 de 7 de 2021, de oas:
https://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
Meskauskas, T. (12 de 1 de 2021). pcrisk. Recuperado el 24 de 7 de 2021, de pcrisk:
https://www.pcrisk.es/guias-de-desinfeccion/9184-svchost-exe-virus