Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Identificación de Intruso
Identificación de Intruso
INTRODUCCIÓN
Por otro lado el phishing también es muy común y el más sencillo de realizar
ya que si está bien hecho puede que el empleado abra el correo u archivo el
cual le de control a nivel de log o datos del equipo y así puede comenzar a
infiltrarse entre subredes y realizar un borrado o secuestro de información,
por lo que se teniendo en cuenta estos aspectos, durante la realización de
este informe se muestra cómo se debe realizar paso a paso la gestión de la
incidencia para tomar las medidas respectivas
2. OBJETIVO DE LA INVESTIGACIÓN
2.1 General
El propósito de esta investigación es determinar cuáles son los factores
implicados y quiénes son los responsables del ataque, ya que hemos sido
atacados y han sido borrados muchos archivos importantes que tienen un
impacto importante en la empresa, teniendo en cuenta el análisis que vamos
a realizar y sabiendo quién es el implicado o los implicados en la intrusión de
la red de la organización, se procederá con las medidas legales
correspondientes.
2.2 Especifico
3. INTERPRETACIÓN, RECOPILACIÓN Y
RECONSTRUCCIÓN Y ANÁLISIS
3.1 Interpretación
Primeramente tenemos que ordenar las ideas, por lo que tenemos que
realizar la interpretación de lo que ocurrió en la escena, podemos afirmar que
el intruso logró tener acceso a la red por algún medio, según mi análisis
mediante un phishing logró tener acceso a algún equipo de la compañía o
por lo menos adquirir información que le permitió acceder tanto a
credenciales como a logs de comportamiento del equipo de un empleado,
con esta información el atacante pudo meterse a servidores o bases de datos
y borrar los datos respectivos causando repercusión en la compañía, se
puede decir que este atacante lo que hizo fue mantenerse escondido y
realizar espionaje para validar qué se digitaba en el equipo y así recopilar la
información necesaria y seguidamente saber qué archivos eran importantes
borrar.
Fuente 1: https://www.fundacionunam.org.mx/unam-al-dia/sabes-como-funciona-el-phishing/.
PÁGINA 1
Puede que no sea mediante un phishing puede que también haya sido por
medio de ingeniera social ya que hemos podido ver que un hacker puede
usar la labia y estudiar un empleado que tenga ciertos accesos para así
engañarlo mediante llamadas solicitándole información tergiversando la
misma para así confundir y ver al hacker como un vendedor de un producto
entre otros, así como se ha visto en la serie de Mr. Robot, donde el
protagonista usa la ingeniería social como medio de hacking para sacar
información valiosa de una persona.
PÁGINA 2
3.2 Recopilación
En este punto una vez sabemos que fuimos atacados y ya sabemos por qué
medio, cuántos y cuáles equipos fueron afectados, se debe tener presenta
esta información para tomar una decisión las cuales serán o realizar
inmediatamente el análisis forense o si por el contrario, se requiere que los
sistemas vuelvan a operar y que la empresa no se vea afectada
monetariamente. Como encargado de seguridad lo que primero haría sería la
primera opción, lo primero es mitigar la afectación para ello se identifica que
se trata de un ataque activo, ya que sabiendo lo que hace un ataque pasivo
no puede o no tiene la necesidad de atacar o modificar y sólo se queda
espiando por el simple hecho de recopilar información para después
extorsionar o vender la información a otras empresas, realizando la
recopilación de la información, tenemos unos ítem a tener en cuenta para
poder analizar lo que recopilamos.
Hay que tener en cuenta que el atacante puede seguir en línea en el sistema
y podría tomar acciones en el sistema como borrar mucha más información,
por lo que se debe tener cuidado a la hora de realizar un análisis, hay que
tener presente que no es necesario apagar el equipo ya que se perdería
mucha información que puede ser valiosa durante el análisis en vivo.
PÁGINA 3
3.3 Reconstrucción
En este punto debemos crear una línea temporal de sucesos mejor conocida
como timeline para ello necesitaremos identificar los metadatos asociados,
rutas completas, marcas de tiempo lo que vienen siendo accesos, creación,
borrado y su fecha de modificación, los tamaños de ficheros, permisos de
acceso y si fue borrado o no, podemos empezar ordenando y reconociendo
los ficheros y directorios que fueron modificados o borrados recientemente,
así mismo programas que también hayan sido posteriormente instalados
luego del sistema operativo y que estén cifrados o en rutas no muy usuales
de instalación de archivos o programas, como medida podemos identificar
archivos borrados y sus fechas para compararlos con su instalación ya que
dentro de este lapso de tiempo puede que se haya realizado el ataque.
PÁGINA 4
Imagen 4: Análisis de los servicios activos
PÁGINA 5
Imagen 6: Carpeta con los datos de ejecución del sistema
PÁGINA 6
Carpetas como las que están ilustradas anteriormente son carpetas que si
bien son de archivos temporales, también la de prefetch nos brinda la
información de las aplicaciones o datos que fueron consultados, tanto las
carpetas temporales que nos ayuda a almacenar datos del mismo equipo
temporal, este también nos puede ayudar a identificar datos que pueden
servir para identifica al culpable o cuales fueron los ficheros que afectó.
3.4 Análisis
4. CONCLUSIONES
PÁGINA 7
pueden ayudar al investigador a tener una idea más concisa, ordenada y bien
argumentada a la hora de presentarse el informe, ya que gracias a los
resultados obtenidos, se pueden obtener datos que no siempre están en un
ordenador y que, siendo parte del cuerpo forense y haciendo un análisis en
vivo puede ser ventajoso para obtención de información.
Usando FastIR también se pudo observar que no sólo los archivos que se
piden analizar obtenían información valiosa, sin embargo, existen más de 15
archivos disponibles de los cuales se pueden obtener evidencias o pistas que
pueden ayudar a la investigación, esto gracias a todos los logs observados
en los archivos y el análisis previo que se le dio a los mismos.
5. BIBLIOGRAFÍA
PÁGINA 8