1.

INTRODUCCIÓN

La finalidad de este informe describe cómo se debe realizar una investigación

forense en vivo siendo nosotros los responsables de la seguridad de la
empresa debemos analizar la situación que se nos expone principalmente, la
cual consiste en un borrado de archivos importantes de la organización, un
atacante específico y su modus operandi, estos aspectos serán analizados y
posteriormente se tomarán las medidas respectivas judiciales contra los
responsables o el responsable.

Durante mucho tiempo se han realizado diversos ataques a compañías

mediante vulnerabilidades que el atacante encuentra cuando un sistema no
es demasiado seguro o simplemente halla el modo de infiltrarse ya sea
lógicamente mediante phishing o realizando ingeniera social, esta última
es bastante usada ya el atacante puede identificar un empleado nuevo y de
ese modo si ha estudiado la infraestructura de red y seguridad puede sacar
provecho de dicho empleado con información que le ayude a lograr su
cometido.

Por otro lado el phishing también es muy común y el más sencillo de realizar
ya que si está bien hecho puede que el empleado abra el correo u archivo el
cual le de control a nivel de log o datos del equipo y así puede comenzar a
infiltrarse entre subredes y realizar un borrado o secuestro de información,
por lo que se teniendo en cuenta estos aspectos, durante la realización de
este informe se muestra cómo se debe realizar paso a paso la gestión de la
incidencia para tomar las medidas respectivas

2. OBJETIVO DE LA INVESTIGACIÓN

2.1 General
El propósito de esta investigación es determinar cuáles son los factores
implicados y quiénes son los responsables del ataque, ya que hemos sido
atacados y han sido borrados muchos archivos importantes que tienen un
impacto importante en la empresa, teniendo en cuenta el análisis que vamos
a realizar y sabiendo quién es el implicado o los implicados en la intrusión de
la red de la organización, se procederá con las medidas legales
correspondientes.
 2.2 Especifico

 De los propósitos específicos se tiene como objetivo analizar cuáles

son los equipos infectados
 Seguidamente, sabiendo cuantos son los equipos se procede a
analizar los mismos para validar la información.
 Interpretar la información que tenemos, relacionarla e identificar cuál
fue el tipo de ataque.
 Recopilar y hacer la reconstrucción de la secuencia temporal previo a
esto, se procederá a realizar un análisis.

3. INTERPRETACIÓN, RECOPILACIÓN Y
RECONSTRUCCIÓN Y ANÁLISIS

3.1 Interpretación
Primeramente tenemos que ordenar las ideas, por lo que tenemos que
realizar la interpretación de lo que ocurrió en la escena, podemos afirmar que
el intruso logró tener acceso a la red por algún medio, según mi análisis
mediante un phishing logró tener acceso a algún equipo de la compañía o
por lo menos adquirir información que le permitió acceder tanto a
credenciales como a logs de comportamiento del equipo de un empleado,
con esta información el atacante pudo meterse a servidores o bases de datos
y borrar los datos respectivos causando repercusión en la compañía, se
puede decir que este atacante lo que hizo fue mantenerse escondido y
realizar espionaje para validar qué se digitaba en el equipo y así recopilar la
información necesaria y seguidamente saber qué archivos eran importantes
borrar.

Fuente 1: https://www.fundacionunam.org.mx/unam-al-dia/sabes-como-funciona-el-phishing/.

PÁGINA 1
Puede que no sea mediante un phishing puede que también haya sido por
medio de ingeniera social ya que hemos podido ver que un hacker puede
usar la labia y estudiar un empleado que tenga ciertos accesos para así
engañarlo mediante llamadas solicitándole información tergiversando la
misma para así confundir y ver al hacker como un vendedor de un producto
entre otros, así como se ha visto en la serie de Mr. Robot, donde el
protagonista usa la ingeniería social como medio de hacking para sacar
información valiosa de una persona.

Imagen 1: Ingeniería social “el arte de hackear humanos”.

Este método es bastante común y no todas las personas lo conocen, por lo

que se ha visto una gran cantidad de personas afectadas por esta
metodología, por lo que me parece importante decir que también pudo haber
sido usado este método de hacking para poder acceder a la empresa y así
mismo ser un residente del sistema oculto para esperar el momento una vez
teniendo la información necesaria y proceder a realizar el ataque dentro del
sistema.

PÁGINA 2
3.2 Recopilación

En este punto una vez sabemos que fuimos atacados y ya sabemos por qué
medio, cuántos y cuáles equipos fueron afectados, se debe tener presenta
esta información para tomar una decisión las cuales serán o realizar
inmediatamente el análisis forense o si por el contrario, se requiere que los
sistemas vuelvan a operar y que la empresa no se vea afectada
monetariamente. Como encargado de seguridad lo que primero haría sería la
primera opción, lo primero es mitigar la afectación para ello se identifica que
se trata de un ataque activo, ya que sabiendo lo que hace un ataque pasivo
no puede o no tiene la necesidad de atacar o modificar y sólo se queda
espiando por el simple hecho de recopilar información para después
extorsionar o vender la información a otras empresas, realizando la
recopilación de la información, tenemos unos ítem a tener en cuenta para
poder analizar lo que recopilamos.

 Realizar análisis de cache

 Todo el contenido que está en la memoria
 Tablas ARP y conexiones de red
 Validación de procesos
 Revisión de archivos y datos de disco duro
 Revisión de USB o dispositivos externos.

Existen varios tipos de análisis para realizar la recopilación de información

también se pueden usar diferentes herramientas.

Hay que tener en cuenta que el atacante puede seguir en línea en el sistema
y podría tomar acciones en el sistema como borrar mucha más información,
por lo que se debe tener cuidado a la hora de realizar un análisis, hay que
tener presente que no es necesario apagar el equipo ya que se perdería
mucha información que puede ser valiosa durante el análisis en vivo.

Debemos tener presente que como objetivo principal debemos tener en

bitácora la fecha y hora del ataque, los procesos que están y no activos, las
conexiones de red, lo puertos TCP/UDP que están abiertos y los que también
están asociados a la escucha y también los usuario conectados desde RDP
y los que están localmente.

A la hora de realizar este análisis debemos seleccionar en dónde vamos a

guardar las evidencias ya que si fuimos atacados obviamente no
guardaremos la información en el mismo equipo afectado, por lo que se
puede usar una memoria USB, un disco externo o también un portátil
mediante netcat, tenemos que recolectar los datos de los discos y es
recomendable realizar una copia de la imagen del disco ya que una copia de
seguridad no podrá copiar archivos ocultos, por lo que es mejor tener la copia
bit a bit con todos los metadatos.

PÁGINA 3
3.3 Reconstrucción
En este punto debemos crear una línea temporal de sucesos mejor conocida
como timeline para ello necesitaremos identificar los metadatos asociados,
rutas completas, marcas de tiempo lo que vienen siendo accesos, creación,
borrado y su fecha de modificación, los tamaños de ficheros, permisos de
acceso y si fue borrado o no, podemos empezar ordenando y reconociendo
los ficheros y directorios que fueron modificados o borrados recientemente,
así mismo programas que también hayan sido posteriormente instalados
luego del sistema operativo y que estén cifrados o en rutas no muy usuales
de instalación de archivos o programas, como medida podemos identificar
archivos borrados y sus fechas para compararlos con su instalación ya que
dentro de este lapso de tiempo puede que se haya realizado el ataque.

Imagen 2: Análisis de grupos en directorio activo

Imagen 3: Análisis de usuarios en directorio activo

PÁGINA 4
 Imagen 4: Análisis de los servicios activos

Como se mencionó anteriormente, puede que los programas que usó el

atacante no estén en una ruta común por lo que habría que analizar a fondo
sobre toda la partición y los logs creados en la hora del ataque, se presume
que a veces puede estar en los roaming o en archivos temporales.

Imagen 5: Análisis de datos temporales

PÁGINA 5
Imagen 6: Carpeta con los datos de ejecución del sistema

Imagen 7: Análisis de datos temporales

PÁGINA 6
Carpetas como las que están ilustradas anteriormente son carpetas que si
bien son de archivos temporales, también la de prefetch nos brinda la
información de las aplicaciones o datos que fueron consultados, tanto las
carpetas temporales que nos ayuda a almacenar datos del mismo equipo
temporal, este también nos puede ayudar a identificar datos que pueden
servir para identifica al culpable o cuales fueron los ficheros que afectó.

3.4 Análisis

Una vez teniendo en cuenta toda la información recopilada y finalizando el

timeline ordenando todos los factores implicados podremos determinar los
acontecimientos sucedidos antes, durante y después del ataque, cuando se
determine cuál fue la vulnerabilidad aprovechada por el atacante se puede
referenciar mediante vulnerabilidades publicadas en textos o en artículos web
de credibilidad, teniendo en cuenta estos pasos podemos concluir que el
ataque se presentó mediante el phishing, ya que revisando los logs uno de
los equipos fue el primero en descargar un archivo corrupto, el cual le dio el
acceso a la atacante, y el empleado no sabía que era un ataque ya que
según el archivo era un comunicado oficial por parte del presidente de la
empresa, de lo que no se percató el empleado era que el correo del
presidente no era correcto, y viendo que eran ordenes de arriba el descargar
el archivo del correo le dio el control total al atacante.

Imagen 10: Archivo csv de Network List

4. CONCLUSIONES

Teniendo en cuenta todos los aspectos valorados en este documento

podemos decir que hay muchos modos de realizar operaciones digitales que

PÁGINA 7
pueden ayudar al investigador a tener una idea más concisa, ordenada y bien
argumentada a la hora de presentarse el informe, ya que gracias a los
resultados obtenidos, se pueden obtener datos que no siempre están en un
ordenador y que, siendo parte del cuerpo forense y haciendo un análisis en
vivo puede ser ventajoso para obtención de información.

Usando FastIR también se pudo observar que no sólo los archivos que se
piden analizar obtenían información valiosa, sin embargo, existen más de 15
archivos disponibles de los cuales se pueden obtener evidencias o pistas que
pueden ayudar a la investigación, esto gracias a todos los logs observados
en los archivos y el análisis previo que se le dio a los mismos.

5. BIBLIOGRAFÍA

 MATIAS POROLLI (2013) ¿En qué consiste un análisis forense

digital?

 ING. CARLES GERVILLA RIVAS (2012) Metodología para un

análisis forense

 ING. PAOLA GARCIA JUAREZ (2016)

https://www.youtube.com/watch?v=HvGga64cQcE. [Consulta: 22 de
Mayo 2020] recurso de YouTube.
 KASPERSKY https://www.kaspersky.es/resource-
center/threats/viruses-worms [Consulta: 23 de Mayo 2020]

PÁGINA 8