Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 3/95
Técnico Ciberseguridad
ÍNDICE
ÍNDICE……………………………………………………………………………… 3
PRÓLOGO…………………………………………………....................................... 5
Propuesta de trabajo………………………………………......................................... 5
Objetivos del trabajo………………………………………........................................ 7
INTRODUCCIÓN………………………………………........................................... 8
Principio de Locard……………………………………….......................................... 8
Características de nuestro análisis………………………........................................... 8
Fases de nuestro análisis…………………………………………………………….. 9
Cadena de custodia………………….………………………………………………. 12
ANEXOS………………………...………………………….………………………. 83
Anexo I Acuerdo de confidencialidad……………………………………….. 83
Anexo II Registro de Cadena de Custodia…………………………………... 86
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 4/95
Técnico Ciberseguridad
Criterios de evaluación…………...………………………….………………………. 92
Ficha de Corrección del Trabajo...………………………….……………………….. 93
Formato de presentación...………………………….……………………………….. 94
Desarrollo de trabajo...………………………….…………………………………… 95
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 5/95
Técnico Ciberseguridad
PRÓLOGO
Propuesta de Trabajo
Se nos ha contratado por la empresa X para investigar un incidente con uno de sus
empleados.
Sabemos que dicho empleado está conspirando para atacar a la empresa junto con
otra persona, conocida como Dr. Evil.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 6/95
Técnico Ciberseguridad
La empresa necesita pruebas irrefutables de la conspiración del empleado y para ello
necesita que nosotros encontremos las claves para poder acusarle.
Dentro de nuestro cometido está encontrar el sitio donde se van a reunir para
conspirar, así como la contraseña que van a utilizar para identificarse.
2. Utilizando los dos archivos que habrías obtenido en el punto 1 con el volcado
de memoria y la imagen de disco duro, extrae toda la información que
puedas sobre la máquina que vas a analizar mostrando cómo la obtienes:
procesos en ejecución, conexiones de red, sistema operativo, usuarios.
Pista: sabemos que el empleado, aun sabiendo que es una mala práctica de
seguridad, reutiliza las contraseñas.
4. Una vez obtenidas las pistas deberás hacer uso de OSINT y tu capacidad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 7/95
Técnico Ciberseguridad
investigadora para obtener la localización y la contraseña para poder
suplantar al empleado en la reunión con el Dr. Evil y detener así sus planes.
Observaciones
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 8/95
Técnico Ciberseguridad
INTRODUCCIÓN
Principio de Locard
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 9/95
Técnico Ciberseguridad
• Verificable: se debe poder comprobar la veracidad de las conclusiones
extraídas a partir de la realización del análisis.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 10/95
Técnico Ciberseguridad
sumo cuidado, evitando que la información sea alterada o que se vea expuesta
a temperaturas extremas o campos electromagnéticos.
o Fichero en disco.
o Proceso en ejecución.
o Log.
o Archivos temporales.
o Entradas de registro.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 11/95
Técnico Ciberseguridad
• Análisis: a la hora de realizar el análisis de la información recopilada se
deberá tener presente el tipo de incidente al que se pretende ofrecer respuesta.
En este del caso puede resultar útil analizar en profundidad diferentes
aspectos como:
o Sistema Operativo.
o Papelera de reciclaje.
o Procesos activos.
o Tráfico de red.
o Usuarios.
o Cadena de custodia.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 12/95
Técnico Ciberseguridad
• Presentación: la fase de presentación de la información es tan importante o
más que las anteriores ya que se deben hacer accesibles y comprensibles las
conclusiones que se han obtenido del proceso del análisis forense.
Hay que tener presente que las fases no son secuenciales sino que están
entrelazadas entre sí. Por ejemplo, la fase de documentación comienza en la fase
de preservación.
Cadena de custodia
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 13/95
Técnico Ciberseguridad
de custodia, al fin y al cabo, la cadena de custodia es un registro cronológico de
actividades, incidentes y responsabilidades respecto de cada evidencia.
En función de la naturaleza de los equipos. confiscados habrá que tomar una serie de
cuidados adicionales. En caso de discos ópticos o magnéticos, por ejemplo discos duros,
CD, cintas de copias de seguridad o similares, estos se deberán proteger contra
electricidad estática y se guardarán en bolsas antiestáticas para evitar pérdida o daño en
los datos contenidos. Se procederá de la misma forma con placas electrónicas que
pudieren verse afectadas por descargas de electricidad estática o sean sensibles a la
manipulación.
Además se tendrá en cuenta de proteger los bienes para el transporte desde el lugar
de los hechos hasta el laboratorio con los medios necesarios para evitar golpes o
proteger de caídas fortuitas.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 14/95
Técnico Ciberseguridad
Recolección de evidencias
• Capturar una imagen del sistema tan precisa como sea posible.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 15/95
Técnico Ciberseguridad
Hay que asegurarse que toda la información recopilada durante el proceso sea tratada
dentro del marco legal establecido, manteniendo la privacidad exigida. Los ficheros log
están incluidos en este apartado ya que pueden almacenar patrones de comportamiento
del usuario del equipo.
Se debe tener presente que la legislación es diferente en cada país por lo que las
evidencias pueden ser admitidas en un país y en otro no. En todo caso dichas evidencias
deben tener una serie de características comunes:
• Admisible: se debe cumplir las normas de la legislación vigente con el fin de
que las evidencias tengan validez judicial.
• Auténtica: se debe poder probar que la evidencia corresponde al incidente en
cuestión.
• Completa: debe corresponder a la información completa y no a una visión
parcial.
• Confiable: no debe existir ninguna duda acerca de cómo se ha obtenido la
evidencia y la posterior manipulación que pueda arrojar dudas sobre su
autenticidad y veracidad.
• Creíble: debe de ser verosímil y fácilmente comprensible por un tribunal.
Procedimiento de recolección
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 16/95
Técnico Ciberseguridad
o Listar qué sistemas están involucrados en el incidente y de cuáles de
ellos se deben tomar evidencias.
o Establecer qué es relevante. En caso de duda es mejor recopilar
mucha información que poca.
o Fijar el orden de volatilidad para cada sistema.
o Obtener la información de acuerdo al orden establecido.
o Comprobar el grado de sincronización del reloj del sistema.
o Según se vayan realizando los pasos de recolección preguntarse qué
más puede ser una evidencia.
o Documentar cada paso.
o No olvidar a la gente involucrada. Tomar notas sobre qué gente estaba
allí, qué estaban haciendo, qué observaron y cómo reaccionaron.
o Cadena de custodia.
o Se debe almacenar la información en dispositivos cuya seguridad haya
sido demostrada y que permitan detectar intentos de acceso no
autorizados.
Herramientas necesarias
Existen una serie de pautas que deben de ser seguidas a la hora de seleccionar las
herramientas con las que se va a llevar a cabo el proceso de recolección:
• Se deben utilizar herramientas ajenas al sistema ya que éstas pueden haberse
visto comprometidas.
• Se debe procurar utilizar herramientas que alteren lo menos posible el
escenario, evitando, en la medida de lo posible, el uso de herramientas de
interfaz gráfico y aquellas cuyo uso de memoria sea grande.
• Los programas que se vayan a utilizar para recolectar las evidencias deben
estar ubicados en un dispositivo de sólo lectura (CDROM, USB, Unidad
Externa, etc.).
• Se debe preparar un conjunto de utilidades adecuadas a los sistemas
operativos con los que se trabaje.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 17/95
Técnico Ciberseguridad
• El kit de análisis debe incluir, entre otros, los siguientes tipos de
herramientas:
o Programas para listar y examinar procesos.
o Programas para examinar el estado del sistema.
o Programas para realizar copias bit a bit.
Nos informan de las sospechas de que un empleado descontento que junto con otra
persona, conocida como Dr. Evil están conspirando, contra la empresa. Nuestro
cometido será encontrar pruebas “irrefutables” que nos indiquen el lugar donde se
reunirán, conociendo a ciencia cierta que la cuenta pertenece a un dominio llamado
“aratech.es”.
Preservación
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 18/95
Técnico Ciberseguridad
de las unidades de memoria como discos duros, RAM o memoria USB. Si el equipo está
encendido no hay que apagarlo, si está apagado no hay que encenderlo.
Se verifica marca y modelo del PC, conectado a la red corporativa mediante cable
red, sin conexión a impresora por cable.
Adquisición
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 19/95
Técnico Ciberseguridad
Con la autorización del representante de la empresa, se procede en primer lugar al
volcado de la memoria RAM. Mediante la inserción de un USB, con software específico
para obtener la imagen de la misma (en nuestro caso, la prueba venía bajo licencia
VMware). Éste software previene si la memoria está protegida por un sistema anti-
depuración o anti-dumping activo, con el fin de minimizar la huella de la herramienta lo
más posible.
o MD5: d1e74230b8e165ef69fd506c432771a1
o Sha1: f1dc55c26708792d9ea1ace2432069bd4f81a8e8
Se realizan dos copias de la imagen obtenida y tras verificarán que los MD5 y Sha1
sean los correctos y se repartirán de la siguiente manera: la imagen obtenida
directamente del pc es entregada al notario. La primera copia al encardado de la
empresa y la segunda a nosotros. (Se anota fecha y hora, documentando el proceso en el
documento «Cadena de custodia»).
o Md5: efaf8bf51fa34600b51606ef2188be63
o SHA1: b6856355dfbe2cc751e9400871303616b0d6725f
Se realizan dos copias de la imagen obtenida y tras verificarán que los MD5 y Sha1
sean los correctos y se repartirán de la siguiente manera: la imagen obtenida
directamente del HD es entregada al notario. La primera copia al encardado de la
empresa y la segunda a nosotros. (Se anota fecha y hora, documentando el proceso en el
documento «Cadena de custodia»).
Análisis
RAM
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 21/95
Técnico Ciberseguridad
• kdbgscan: nos ofrece un perfil exacto de la imagen analizada así como el
identificados exacto de KDBG. Este plugin escanea las firmas de las cabeceras de la
imagen y las contrarresta con los perfiles almacenados en la base de datos de volatility,
reduciendo con ello el número de posibles falsos positivos.
• pslist: recorrerá la lista vinculada que apunta a PsActiveProcessHead y mostrará
el desplazamiento, nombre del proceso, ID del proceso e ID del proceso padre del
mismo, el número de subprocesos, número de identificadores, así como la fecha y hora
en la cuál dicho proceso empezó y terminó.
• pslist: con la opción –P mostrará los offsets virtuales para _EPROCESS pero
podemos ver los offsets físicos.
• pstree: enumerará los procesos con la misma técnica utilizada en pslist pero con
una vista diferente de la misma y que puede ayudar a identificar de una forma más
rápida el padre de cada uno de estos.
• psscan: nos permitirá obtener también el ID del offset físico de cada uno de los
procesos. Este plugin puede encontrar procesos inactivos, es decir, que terminaron
previamente, y procesos que han sido ocultos o desvinculados por un rootkig.
• dlllist: nos permite ver que librerías del sistema está utilizando el mismo, así
como obtener el offset de las mismas, el tamaño que ocupan, ruta en la cuál se
almacenan, etc.
• dlldump: extraer un DLL desde un proceso del espacio de memoria y analizar el
mismo.
• hashdump: que permite extraer los hash de las cuentas creadas en la máquina.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 22/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 23/95
Técnico Ciberseguridad
Parrot Security
Volatility, Autopsy, Guymanager
Ante la imposibilidad de realizar esta tarea con la distribución Kali de Linux, instalo
la distribución de Parrot Security sobre Debian (64-bit) en Oracle VM VirtualBox. Una
vez en Parrot, realizo otra extracción del volcado de memoria en el terminal usando dd
sobre el origen con destino y verifico md5 y shal.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 24/95
Técnico Ciberseguridad
No obtengo resultados nuevos con el Volatility sobre distribución Parrot Security.
Probando Autopsy que es un programa basado en GUI que se utiliza para analizar
discos duros y otros dispositivos de almacenamiento. Tiene una arquitectura de
complementos que ayuda a encontrar módulos o desarrollar módulos personalizados.
Por defecto, trabaja con módulos para:
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 25/95
Técnico Ciberseguridad
Ante la imposibilidad de usar Volatility realizo el proceso en busca de las
contraseñas con Autopsy. Proceso Autopsy:
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 26/95
Técnico Ciberseguridad
Dicho proceso, se realiza:
• Verificación de MD5.
• Analizar imagen.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 27/95
Técnico Ciberseguridad
Las palabras clave realizadas en la búsqueda serán las que comúnmente se utilizan
para realizar dicha búsqueda: &pass=; &passwd=; &password=; y sabiendo que el
dominio utilizado en los correos entre nuestro empleado y su “cómplice” es aratech, se
suma esta palabra en la búsqueda.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 28/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 29/95
Técnico Ciberseguridad
Primeramente, para poder trabajar, obtendremos copia de la imagen RAM con
AccesData FTK.
Añadir evidencia, tipo de evidencia y ruta donde tenemos alojado el fichero Ram.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 30/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 31/95
Técnico Ciberseguridad
procesos, las contraseñas usadas recientemente, los archivos borrados, el contenido del
registro de Windows, etc.
Con el comando pslist, nos ocurre como con las máquinas virtuales anteriores
montadas sobre Linux y Debian.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 32/95
Técnico Ciberseguridad
Es importante mencionar el uso de un bloqueador de escritura al utilizar FTK Imager
para crear la imagen forense desde un disco duro u otro dispositivo electrónico. Esto
asegura que el sistema operativo no alterará la unidad fuente original cuando se le
adjunte al ordenador.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 33/95
Técnico Ciberseguridad
Ésta técnica de búsqueda aparentemente parece ser larga, tediosa al tener que estar
continuamente con F3 para ir avanzado entre los resultados.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 34/95
Técnico Ciberseguridad
Como siguiente paso en la búsqueda de nuestra ansiada contraseña, procedo a
instalar HxD Editor. HxD es uno de los rápidos y grandes editores de archivos
hexadecimales para Windows. También proporciona la modificación de la RAM y la
edición del disco duro. La edición en HxD es similar a la edición en un editor de texto
normal. Los datos pueden ser vistos en juegos de caracteres ANSI, DOS, EBCDIC y
Macintosh. Es uno de los editores hexadecimales actualizados entre muchos otros
editores hexadecimales. diseñado cuidadosamente y rápido incluyendo la edición de
disco sin procesar, modificar RAM externa y el manejo de archivos de cualquier
tamaño. Su interfaz clara ofrece buscar / reemplazar, exportar, sumas de comprobación /
digiere, la inserción de patrones de bytes, un destructor de archivos, la concatenación o
división de archivos, estadísticas y mucho más. Edición funciona como en un editor de
texto con funciones simplificados para ocultar las diferencias que son puramente
técnico.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 35/95
Técnico Ciberseguridad
Parrot Security
Burp Suite Community
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 36/95
Técnico Ciberseguridad
Target: Con esta herramienta podemos crear un mapa de acción y a partir de él
poder ejecutar las demás herramientas a fin de alcanzar el propósito establecido. En esta
fase es en la que se decide qué herramientas debemos usar dependiendo de lo que se
desee lograr.
Araña o Spider: Esta funciona de manera automatizada y con ella se puede
inspeccionar detalladamente cada página web o cada uno de los recursos de la
aplicación web que se esté auditando. Una herramienta muy completa con una gran
utilidad.
Proxy: Este, tal como lo explicamos anteriormente, se instala entre el internet y el
navegador web, esto con la intención de interceptar todas las peticiones e inspeccionar
minuciosamente el tráfico que se recibe.
Escáner: Este se emplea en aplicaciones webs y es un sistema avanzado con el
que se pueden identificar las vulnerabilidades que existan dentro de la misma sin
importar si estas son activas o pasivas.
Es una herramienta especial de intrusión: con esta herramienta se pueden
realizar varias funciones, entre ellas se encuentran el poder hacer ataques de fuerza
bruta, directorios, enumeración en usuarios y ataques de SQLI o XSS.
Una herramienta especial para repetir: al aplicar esta herramienta podemos
modificar cabeceras y parámetros de las peticiones interceptadas y, luego de ser
manipuladas, poder soltarlas nuevamente.
Herramienta especial secuenciadora: utilizándola de manera correcta podemos
obtener, por medio del ataque de fuerza bruta, tokens CSRF y cookies. Además
podemos la aleatoriedad de los tokens en los inicios de sesión.
Herramienta de comparación: permite realizar comparaciones de datos entre las
respuestas y peticiones.
Codificador: Permite la codificación y decodificación de los parámetros hashes,
URLs , ente otros.
Extensiones: Se puede crear plugins personalizados con el fin de hacer ataques
más directos.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 37/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 38/95
Técnico Ciberseguridad
Aunque sabemos que en este momento, la cuenta, por motivos técnicos se encuentra
desactivada, el string que nos devuelve es el mismo que el encontrado en la memoria
Ram, tanto con:
§ &_user=info@aratech.es& pass=1nf0Ar4t3ch.
§ &_user=info@aratech.es& pass=1nf0Ar4t3ch.
§ &_user=info@aratech.es& pass=1nf0Ar4t3ch.
&_user=info@aratech.es& pass=1nf0Ar4t3ch.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 39/95
Técnico Ciberseguridad
RESUMEN
info@aratech.es
1nf0Ar4t3ch
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 40/95
Técnico Ciberseguridad
HD
Windows 10 Enterprise
Adquisición Imagen
Lo primero que debemos hacer es obtener una segunda imagen del Disco Duro para
poder trabajar resueltamente sobre ella. Para ello utilizo AccessData FTK Imager
3.1.2.0.
Tendremos que indicar qué tipo de evidencia y cual el la ruta donde se encuentra el
archivo de la copia original.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 41/95
Técnico Ciberseguridad
Indicaremos qué tipo de imagen queremos tener y rellenaremos los datos del caso,
indicando número de caso, número de evidencia, la descripción, el examinador y notas
relativas a la evidencia/caso.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 42/95
Técnico Ciberseguridad
Llegados a este punto, se debe de indicar cual va a ser el destino de la imagen, qué
nombre recibirá, en cuantas partes queremos que se divida (en mi caso indicaré 0 para
que sea un solo fichero de salida. Nos preguntará se desea que se verifique la imagen de
salida, mostrar progreso y creación de sus directorios.
FTK nos muestra el estado del progreso de nuestra imagen. Este progreso puede
variar en el tiempo dependiendo del tamaño de la imagen.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 43/95
Técnico Ciberseguridad
Información de la imagen creada por FTK Imager:
Se crea un fichero de texto plano donde nos indica información más detallada sobre
la imagen generada, entre otros datos:
• Nombre del caso y evidencia.
• Información del dispositivo (físico, cilindros, cabezas, sectores.
• Tipo de imagen: VMWare Virtual Disk, Tamaño en MB, MD5 Y SHA1.
• Hash de la imagen.
• Verificación del Hash.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 44/95
Técnico Ciberseguridad
En este punto, FTK Imager nos muestra un árbol de directorios de la imagen.
Siguiendo con el despliegue del árbol de evidencia, vemos la carpeta “User”, la cual
nos indicará los usuarios registrados en el ordenador.
Windows 10 Enterprise
Búsqueda de correos
Para ello, nos vamos a la siguiente página de soporte Microsoft, donde nos indica
cual es el archivo donde Outlook guarda los datos, realiza copias de seguridad los
mensajes de correo, calendario, contactos, y tareas.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 45/95
Técnico Ciberseguridad
https://support.microsoft.com/es-es/office/introducción-a-archivos-de-datos-de-
outlook-pst-y-ost-222eaf92-a995-45d9-bde2-f331f60e2790
Éste será el archivo a buscar *.pst y ahora debemos saber dónde encontrarlo. Para
ello nos dirigimos a la siguiente página de soporte Microsoft, donde nos detallan las
posibles rutas para acceder al archivo.
https://support.microsoft.com/es-es/office/buscar-y-transferir-archivos-de-datos-de-
outlook-desde-un-equipo-a-otro-0996ece3-57c6-49bc-977b-0d1892e2aacc
Ilustración 71 Unidad:\user\alumnoseas
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 46/95
Técnico Ciberseguridad
Ilustración 72 Unidad:\user\alumnoseas\AppData
Ilustración 73 Unidad:\user\alumnoseas\AppData\Local
Ilustración 74 Unidad:\user\alumnoseas\AppData\Local\Microsoft
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 47/95
Técnico Ciberseguridad
Ilustración 75 Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook
Ilustración 76 Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook\Outlook.pst
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 48/95
Técnico Ciberseguridad
Reparación de correos.
Stelar Repair for Outlook
Como tenemos los archivos pst de nuestra imagen, ya sólo nos queda realizar la
reparación de los mismos.
Stellar Repair for Outlook ofrece una completa solución para recuperar
información de archivos de Microsoft Outlook Personal Storage (PST) dañados.
El software repara los archivos PST corruptos y restaura todo su contenido, como
correos electrónicos, archivos adjuntos, contactos, calendarios, tareas y publicaciones.
También repara los elementos del buzón perdidos o eliminados por accidente. Esto
minimiza la pérdida de la corrupción PST. Stellar Repair for Outlook escanea y extrae
información de archivos PST dañados, los repara y luego los recupera como nuevos
archivos PST utilizables. Para ver ítems recuperados, usted necesitara importar el nuevo
archivo PST a MS Outlook.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 49/95
Técnico Ciberseguridad
De fácil uso e intuitivo, introducimos la ruta donde se encuentra el fichero pst que
extrajimos de la imagen.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 50/95
Técnico Ciberseguridad
Encontramos dos correos en la bandeja de entrada:
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 52/95
Técnico Ciberseguridad
3. Carpeta de eliminados.
De: “dr.evil” <dr.evil@aratech.es>
Para: info@aratech.es
Asunto: Contacto
Buenas tardes.
Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvedor
Allende en Zaragoza, y como contraseña tendrás que decirme el
nombre de la wifi del local, cuyo BSSID comienza por FC.52:8D…
Espero que lleguemos a un acuerdo.
Un saludo y nos vemos pronto.
Dr. Evil.
Por el momento, sabemos que su pretensión es verse con alguien en una cervecería
de Zaragoza. En este momento, podríamos comenzar a realizar OSINT para comenzar a
localizar dicha cervecería, pero como en los mensajes no se aprecian archivos o
documentos adjuntos, pasaré a analizar más profundamente el HD en busca de algún
indicio de fuga de información o documento que apoye dicha filtración o el plan de
venganza.
Análisis Autopsy
Una aplicación de escaneo de grado forense que permite a los usuarios investigar
imágenes en bruto, unidades locales o archivos lógicos, que admite varios
complementos.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 53/95
Técnico Ciberseguridad
recientes, realizar búsquedas de hash, extraer archivos, analizar imágenes exif, buscar
palabras clave y ver espacio de almacenamiento no asignado.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 54/95
Técnico Ciberseguridad
Relleno de los datos del caso, número, examinador, telféfono, correo y notas
adicionales.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 55/95
Técnico Ciberseguridad
En la esquina inferior, muestra el progreso del análisis así como los avisos del
mismo.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 56/95
Técnico Ciberseguridad
Avisos y mensajes:
Una vez terminado el proceso, podemos confirmar el nombre del ordenador, sistema
operativo ()así como el nombre del propietario, (Usuario principal).
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 57/95
Técnico Ciberseguridad
Análisis HD y última actividad del usuario alumnoseas. Básicamente explorador de
internet y el programa de correo Outlook:
Podemos ver los últimos programas y archivos modificados utilizados por el usuario
que ha sido el Outlook.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 58/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 59/95
Técnico Ciberseguridad
Proceso de ver actividad de Outlook y extracción del ficheros .pst
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 60/95
Técnico Ciberseguridad
Por último, analizamos los últimos dispositivos USB conectados al pc para intentar
obtener información brecha de seguridad, pero los dispositivos conectados pertenecen a
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 61/95
Técnico Ciberseguridad
USB virtuales VMware pertenecientes a la extracción de la imagen.
Para generar un informe de la evidencia y tras pulsar “Generate Report”, donde nos
sale una ventana donde podremos seleccionar tipo de informe, cabecera y pie del
informe.
En este caso, se incluirán todos los módulos, donde se puede comprobar que el
empleado no ha enviado documentos adjuntos en los correos, no se ha descargado
información mediante los dispositivos USB, que los últimos documentos abiertos no
hacen referencia a cuestiones laborables así como no haber participado recientemente en
foros o páginas web sospechosas.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 62/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 63/95
Técnico Ciberseguridad
Pst-Outlook
Para otro tipo de análisis de los correos, descargo e instalo Microsoft Outlook. El fin
será rescatar los posibles mensajes y datos borrados de los correos.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 64/95
Técnico Ciberseguridad
Al abrir Outlook, en Bandeja de entrada, vemos los dos correos enviados por Dr. Evil
a info@aratech.es, pero no hay elementos o mensajes en eliminados.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 65/95
Técnico Ciberseguridad
Puede que el administrador haya configurado una directiva para eliminar los
elementos de la carpeta Elementos eliminados que hayan pasado allí un número de días
determinado, también, que haya especificado el tiempo durante el que se pueden
recuperar los elementos que se hayan eliminado de la carpeta Elementos eliminados.
Por ejemplo, puede que exista una directiva que elimine cualquier elemento que haya
pasado 30 días en la carpeta Elementos eliminados, y otra directiva que le permita
recuperar los elementos que se hayan eliminado de la carpeta durante 15 días más.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 66/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 67/95
Técnico Ciberseguridad
encontrado errores en el archivo PST y nos da las instrucciones para proceder a su
reparación con la herramienta Reparar Bandeja de entrada (Scanpst.exe).
Como el Outlook pertenece a Microsoft Office Enterprise 2007, nuestra ruta para
acceder a la herramienta será C:\Archivos de programa (x86)\Microsoft
Office\Office12 y seguiremos los pasos indicados en la Pág.
• Abra SCANPST.EXE.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 68/95
Técnico Ciberseguridad
que desea analizar. Si necesita ayuda para buscar el archivo de datos de
Outlook, vea ubicar los archivos de datos de Outlook.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 69/95
Técnico Ciberseguridad
• Si el análisis encuentra errores, seleccione Reparar para iniciar el proceso
para corregirlos.
Asunto: Contacto
dr.evil [dr.evil@aratech.es]
Enviado: sá. 29/12/2018 19:39
Para: info@aratech.es
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 70/95
Técnico Ciberseguridad
“Buenas tardes.
Dr. Evil.”
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 71/95
Técnico Ciberseguridad
OSINT
• Ciudad: Zaragoza.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 72/95
Técnico Ciberseguridad
Comprobamos el lugar con información del buscador y Street View.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 73/95
Técnico Ciberseguridad
en sus teléfonos, tabletas y computadoras portátiles utilizando herramientas de
detección de WiFi o la propia aplicación de Android de Wigle. Una vez cargados, los
usuarios como nosotros podemos buscar y mapear el contenido y usarlo en nuestras
investigaciones.
Es una herramienta muy útil para geolocalizar una determinada red inalámbrica Wi-
Fi. Esta herramienta nos va a permitir saber dónde se encuentra un determinado SSID, e
incluso también podremos comprobar dónde tenemos un BSSID (MAC inalámbrica) e
incluso ver la densidad de las redes inalámbricas.
Ventajas Wigle:
• Una de las características principales de Wigle es que ofrece una opción para
obtener información de los puntos de conexión WiFi cercanos al móvil.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 74/95
Técnico Ciberseguridad
Realizando por búsqueda calle, número, ciudad.
• SSID: vodafoneDD64
• BBSID fc:52:8d:6c:dd:69
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 75/95
Técnico Ciberseguridad
Solución al ejercicio
info@aratech.es.
Correos encontrados: 2.
Archivos eliminados: 2.
SSID: vodafoneDD64.
BBSID fc:52:8d:6c:dd:69.
Solución: “Como contraseña tendrás que decirme el nombre de la wifi del local” :
vodafoneDD64.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 76/95
Técnico Ciberseguridad
Documentación
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 77/95
Técnico Ciberseguridad
Ilustración 45 Apertura archivo a analizar en HxD……………………….. 34
Ilustraciones 46-47 Búsquedas palabras clave para hallar contraseña……. 34
Ilustración 48 Búsqueda contraseña de info@aratech.es…………………. 35
Ilustración 49 Burp Suite Commnunity Edition v2020.12.1……………… 37
Ilustraciones 50-51 Configuración Burp Suite……………………............. 37
Ilustraciones 52-53 Funcionado Burp Suite……………………................. 37
Ilustración 54 Confirmación del string……………………......................... 38
Ilustraciones 55-56 Abrir FTK y Añadir Evidencia……............................. 40
Ilustraciones 57-58 Tipo y Ruta imagen original……................................. 40
Ilustraciones 59-60-61 Exportar imagen y tipo salida e información de la
evidencia………………………………………………………………… 41
Ilustraciones 62-63 Diseño de salida e información de la evidencia……… 42
Ilustración 64 Progreso creación imagen RAW con FTK Imager………… 42
Ilustración 65 Verificación de los resultados FTK Imager………………... 43
Ilustración 66 Desplegar árbol de evidencia..……………………...……… 43
Ilustraciones 67-68 Árbol de la evidencia…...……………………...…….. 44
Ilustración 69 Información de Microsoft Outlook………………...………. 45
Ilustración 70 Información ruta archivo Outlook………………...……….. 45
Ilustración 71 Unidad:\user\alumnoseas………………...………………… 45
Ilustración 72 Unidad:\user\alumnoseas\AppData………………………... 46
Ilustración 73 Unidad:\user\alumnoseas\AppData\Local…………………. 46
Ilustración 74 Unidad:\user\alumnoseas\AppData\Local\Microsoft……… 46
Ilustración 75
Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook……………. 47
Ilustración 76
Unidad:\user\alumnoseas\AppData\Local\Microsoft\Outlook\Outlook.pst 47
Ilustración 77 Localizado el fichero Outlook.pst se procede a exportarlo 47
Ilustración 78 Lanzando Stellar Repair for Outlook……………………… 48
Ilustración 79 Ruta del fichero Outlook.pst………………………………. 49
Ilustración 80 Archivo reparado…………………………………………... 49
Ilustración 81 Primer correo………………………………………………. 50
Ilustración 82 Segundo correo…………………………………………….. 50
Ilustración 83 Correo en Elementos eliminados…………………………... 51
Ilustraciones 84-85 Abrir un nuevo caso Autopsy………………………... 53
Ilustración 86 Nombre del caso……………………………........................ 53
Ilustración 87 Información opcional……………………………................. 54
Ilustraciones 88-89 Tipo fuente ruta del archivo y zona horaria………….. 54
Ilustraciones 90-91 Selección de módulos, ingesta de datos……………… 55
Ilustración 92 Progreso y avisos…………………………………………... 55
Ilustraciones 93-95 Avisos y mensajes……………………………............. 56
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 78/95
Técnico Ciberseguridad
Ilustración 96 Información del equipo…………………………….............. 56
Ilustraciones 97-98 Análisis y actividad……………………………........... 57
Ilustraciones 99-100 Últimos ficheros por actividad……………………… 57
Ilustración 101 Documentos recientes…………………………………….. 58
Ilustraciones 102-103 Últimos ficheros de texto plano y enriquecido……. 58
Ilustración 104 Ubicación fichero .pst…………………………………….. 59
Ilustraciones 105-106 Primer correo en bandeja entrada…………………. 59
Ilustraciones 107-108 Segundo correo en bandeja entrada……………….. 60
Ilustración 109 Dispositivos USB……………………….………………... 60
Ilustración 110 Generar informe de la evidencia Autopsy 4.17.0………… 61
Ilustraciones 111-112 Dispositivo y módulos que incluiremos en el
informe…………………………………………………………………….. 62
Ilustracón 113 Proceso generación informe. Nombre y ruta del informe… 62
Ilustraciones 114-116 Instalación Microsoft Outlook Enterprise 2007…… 63
Ilustraciones 117-118 Importar fichero .pst y contraseña………………… 64
Ilustraciones 119-121 Estado Bandeja de entrada y Elementos eliminados 64
Ilustración 122 Selección posiciones 07-0D………………………............ 66
Ilustración 123 Selección “00” ………………………................................ 66
Ilustración 124 Aviso Microsoft Office Oltlook…….................................. 67
Ilustraciones 125-126 Ruta acceso SCANPST.EXE.................................... 68
Ilustración 127 Iniciar análisis del archivo PST........................................... 68
Ilustración 128 Reparar archivo PST……………….................................... 69
Ilustración 129-130 Reparado archivo PST e inicio Outlook....................... 69
Ilustración 131 Correo que permanecía oculto……..................................... 70
Ilustraciones 132-134 Búsqueda simple realizada por Google.................... 71
Ilustraciones 135-136 Imágenes de la ubicación del cervecería................... 72
Ilustración 137 Google Maps………………………................................... 72
Ilustración 138 Wigle.net………………………......................................... 73
Ilustraciones 139-140 Búsqueda por calle, número y ciudad. ..................... 74
Ilustración 141 Localización SSID y BBSID…........................................... 74
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 79/95
Técnico Ciberseguridad
Informe ejecutivo
Consideraciones previas.
El presente informe se ha realizado por encargo de Sr. Perico de los Palotes con DNI
número 012345678, de la empresa X sita en Zaragoza tiene como objetivo realizar
análisis del siguiente escenario:
• Para la realización de este análisis se han mantenido conversaciones con el
responsable informático Sr. Perico de los Palotes en calidad de representante
de la citada empresa.
• La empresa X tiene sospechas de un incidente de conspiración por parte de
uno de sus empleados.
• Éste incidente se basa en unos correos mantenidos por su empleado con una
persona que se hace llamar Dr. Evil.
Pág. 1 de 4
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 80/95
Técnico Ciberseguridad
laboratorio para su análisis. En informe notarial, con el de la custodia del archivo de
imagen se le adjuntan los cálculos de los hashes:
MD5 (VolcadoMemoria.vmem):
d1e74230b8e165ef69fd506c432771a1
SHA1(VolcadoMemoria.vmem):
f1dc55c26708792d9ea1ace2432069bd4f81a8e8
MD5 (HD.vmdk):
efaf8bf51fa34600b51606ef2188be63
SHA1(HD.vmdk):
b6856355dfbe2cc751e9400871303616b0d6725f
El análisis ha sido llevado a cabo sobre Linux Kali, Parrot Security Debian (64-bit) y
Windows 10 Enterprise sobre Oracle VM VirtualBox con las aplicaciones
Volatility_2.6_lin64_standalone, Autopsy Forensic Browser 2.24, GuyManager 0.8.12,
volatility_2.6_win64_standalone, AccessData FTK imager, HxD, Autopsy 4.17.0,
Stelar Repair for Outlook, Scanpst de Outlook y Microsoft Outlook 2007.
Pág. 2 de 4
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 81/95
Técnico Ciberseguridad
Además de buscar los correos tanto en aplicación de correo como en servicio
correoweb, se realizó búsqueda de la contraseña del empleado para poder acceder a
dichos correos, así como búsqueda por fechas de apertura y modificación de
documentos por posibles en adjuntos.
Buenas tardes.
Sólo recordarte que mañana es el día para encontrarnos en el sitio y con la
contraseña que te comentaba en mi anterior correo.
No veo el momento de conocerte y poder rematar nuestro maligno plan.
Un saludo.
Dr. Evil
Pág. 3 de 4
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 82/95
Técnico Ciberseguridad
Buenas tardes.
Nuestro encuentro tendrá lugar en la Cervecería Gala de Salvedor Allende en
Zaragoza, y como contraseña tendrás que decirme el nombre de la wifi del
local, cuyo BSSID comienza por FC.52:8D…
Espero que lleguemos a un acuerdo.
Un saludo y nos vemos pronto.
Dr. Evil.
Conclusiones.
Hay tres correos recibidos por parte del empleado donde se habla de elaborar un
maligno plan con el objetivo de una venganza.
Documentación adjunta.
Pág. 4 de 4
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 83/95
Técnico Ciberseguridad
Anexos
Anexo I
Acuerdo de confidencialidad
En ____________ a ___ de ______ de 20__De una parte, ______RAZÓN SOCIAL CLIENTE______
(en adelante, CLIENTE), con C.I.F. ______CIF CLIENTE______ y domicilio social en
______DOMICILIO SOCIAL CLIENTE______, representada por D. ______NOMBRE DEL
REPRESENTANTE CLIENTE______ actuando en nombre y representación de esta entidad en virtud de
su condición de ______CARGO REPRESENTANTE CLIENTE______.
De otra parte, ______RAZON SOCIAL PROVEEDOR______ (en adelante, PROVEEDOR), con C.I.F.
______CIF PROVEEDOR______ y domicilio social en ______DOMICILIO SOCIAL
PROVEEDOR______, representada por D. ______NOMBRE DEL REPRESENTANTE
PROVEEDOR______ actuando en nombre y representación de esta entidad en virtud de su condición de
______CARGO REPRESENTANTE PROVEEDOR______.
Ambas partes acuerdan mutuamente, la capacidad legal necesaria para la suscripción del presente acuerdo
y el cumplimiento y a dar cumplimiento a las siguientes obligaciones:
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 84/95
Técnico Ciberseguridad
4. PROVEEDOR solo hará uso de la información facilitada por CLIENTE en el ámbito de
los servicios prestados por PROVEEDOR, descritos en el apartado II. En este sentido
PROVEEDOR se compromete a guardar el deber de secreto y mantener la confidencialidad
de la información cedida, trasladando este deber a todas aquellas personas (empleados,
personal subcontratado, becarios, etc.) o entidades que dispongan de acceso a esta
información en el desarrollo de sus funciones y obligaciones en relación a los servicios
prestados a CLIENTE
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 85/95
Técnico Ciberseguridad
8. PROVEEDOR se compromete a devolver la información confidencial cedida por
CLIENTE en el ámbito de la prestación del servicio, una vez finalizada la relación
contractual.
10. Este acuerdo tendrá validez a partir del momento en que quede firmado por ambas partes, y
se extenderá de forma indefinida, a pesar de que haya finalizado la relación contractual.
11. Ante cualquier disputa o conflicto que pueda surgir relativa a la interpretación y/o
cumplimiento del presente acuerdo, ambas partes se someten a los Juzgados y
Tribunales de _______UBICACIÓN________, renunciando a su fuero propio.
12. Y en virtud de lo establecido anteriormente, ambas partes firman por duplicado este
acuerdo, en todas sus hojas, en el lugar y las fechas citados.
(Fuente INCIBE)
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 86/95
Técnico Ciberseguridad
Anexo II
dfghd
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 87/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 88/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 89/95
Técnico Ciberseguridad
Propuesta de trabajo
Se nos ha contratado por la empresa X para investigar un incidente con uno de sus
empleados.
Sabemos que dicho empleado está conspirando para atacar a la empresa junto con
otra persona, conocida como Dr. Evil.
Dentro de nuestro cometido está encontrar el sitio donde se van a reunir para
conspirar, así como la contraseña que van a utilizar para identificarse.
2. Utilizando los dos archivos que habrías obtenido en el punto 1 con el volcado
de memoria y la imagen de disco duro, extrae toda la información que
puedas sobre la máquina que vas a analizar mostrando cómo la obtienes:
procesos en ejecución, conexiones de red, sistema operativo, usuarios,…
Pista: sabemos que el empleado, aun sabiendo que es una mala práctica de
seguridad, reutiliza las contraseñas.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 90/95
Técnico Ciberseguridad
4. Una vez obtenidas las pistas deberás hacer uso de OSINT y tu capacidad
investigadora para obtener la localización y la contraseña para poder
suplantar al empleado en la reunión con el Dr. Evil y detener así sus planes.
5. Por último, deberás realizar un informe pericial de qué pruebas y cómo las
has obtenido para poder presentarlo cuando acusemos al empleado, siendo lo
más riguroso posible para evitar una posible contrapericial.
Observaciones
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 91/95
Técnico Ciberseguridad
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 92/95
Técnico Ciberseguridad
Criterios de evaluación
La evaluación, es una componente fundamental de la formación. Este trabajo
obligatorio formará parte de tu calificación final. En esta tabla se resumen los aspectos
valorables y el porcentaje que representa cada unos de los mismos.
%
% %
2º
Total Ob.
Correc
Contenidos generales
TOTAL 100
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 93/95
Técnico Ciberseguridad
Profesor:
Este espacio esta reservado para que el profesor titular describa anotaciones que
considera importantes sobre la realización del trabajo.
También está destinado para que el profesor que efectúa la doble corrección pueda
realizar sus anotaciones, asimismo se podrán describir las conclusiones a las que se
ha llegado tras realizar la doble corrección.
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 94/95
Técnico Ciberseguridad
Formato de presentación
§ La fecha de envío.
§ De qué consta el envío (por ejemplo, un documento word, tres fotos,...)
FC-1002-01
Trabajo obligatorio Código: FC_1045-03
Página: 95/95
Técnico Ciberseguridad
Desarrollo de trabajo
Espacio reservado para el desarrollo del trabajo por parte del alumno.
El alumno deberá entregar el trabajo en este mismo formato con el objetivo de que el
profesor pueda asignar la nota en el apartado criterios de calificación y aportar
observaciones en el apartado ficha de corrección.
FC-1002-01