Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERSEGURIDAD
Especialidad Análisis de Incidentes y
Forense
Taller 3
Unidad 5. Análisis forense
Unidad 5
Taller13
Contenidos
3 PLUGINS 17
7 EJERCICIOS PRÁCTICOS 57
Unidad 2
3
Actividad 1
1
ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY EN
KALI LINUX
Volatility es uno de los framework más utilizados para la extracción de artefactos de memoria.
Para la realización de este taller, concretamente el apartado 6 «Análisis de un volcado de memoria con Volatility» los
alumnos tendrán que descargarse el archivo «memory_2.dmp» que encontrarán entre los recursos descargables de la
unidad.
Unidad 5
4
Taller 3
INSTALACIÓN Y
2
CONFIGURACIÓN
DE VOLATILITY
2.1 Resolución de problemas o Trubleshooting
Unidad 2
5
Actividad 1
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
• Para comenzar con la instalación, abre un terminal en la máquina de Kali Linux e introduce diferentes comandos
para instalar dependencias que serán necesarias por la herramienta: sudo apt install -y build-essential git
libdistorm3-dev yara libraw1394-11 libcapstone-dev capstone-tool tzdata
Unidad 5
6
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
• A continuación, introduce el siguiente comando para instalar pip y python3 en el sistema, dado que la versión más
reciente de Volatility requiere Python 3 para funcionar correctamente: sudo apt install -y python3 python3-dev
libpython3-dev python3-pip python3-setuptools python3-wheel
Unidad 5
7
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
• Ahora es necesario instalar diferentes dependencias de Python3 que requiere Volatility para funcionar correctamente
utilizando el comando python3 -m pip install -U distorm3 yara pycrypto pillow openpyxl ujson pytz ipython
capstone
Unidad 5
8
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
• Una vez instalados todos los requerimientos para Volatility, descarga e instala el propio programa con el siguiente
comando: python3 -m pip install -U git+https://github.com/volatilityfoundation/volatility3.git
Unidad 5
9
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
• Crea un enlace simbólico del fichero libyara.so en el directorio «/usr/lib» de la siguiente forma: ln -s
/usr/local/lib/python3.10/dist-packages/usr/lib/libyara.so /usr/lib/libyara.so
Unidad 5
10
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
• Una vez creado el vínculo, lanza el comando vol para verificar que Volatility está correctamente instalado. Si es así
saldrá de la siguiente forma:
En esta versión de Volatility para lanzar los comandos puede usarse tanto «volatility3» como «vol».
Unidad 5
11
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
3.1 Resolución de problemas o Trubleshooting
Durante la ejecución de Volatility pueden faltar alguno de los componentes o dependencias necesarias para que alguno
de los módulos funcione correctamente.
• Para comprobar que Volatility esté completamente operativo lanza el comando vol -h
Unidad 5
13
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
3.1 Resolución de problemas o Trubleshooting
• Si en la parte final del comando aparece un mensaje como el que se muestra en la imagen, entonces tienes que
ejecutar el comando que aparece en la siguiente tabla para saber exactamente cuál es el causante del fallo: vol -vv
Unidad 5
14
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
3.1 Resolución de problemas o Trubleshooting
Unidad 5
15
Taller 3
2 INSTALACIÓN Y CONFIGURACIÓN DE VOLATILITY
3.1 Resolución de problemas o Trubleshooting
• En este caso, el problema es que la versión de yara instalada no es la correcta. Para solventar este error ejecuta el
siguiente comando para instalar correctamente Yara: pip3 install yara-python
• Es posible que sea necesario instalar alguna otra dependencia más. Para ello, ejecuta los siguientes comandos:
Unidad 5
16
Taller 3
3
PLUGINS
Unidad 2
17
Actividad 1
3 PLUGINS
Volatility es una herramienta que posee diferentes plugins. Se pueden entender como los módulos de Autopsy, estos
son lanzados contra la muestra de memoria para poder realizar la extracción de información y el análisis del volcado de
memoria.
• El comando de ayuda es interesante para poder visualizar las opciones disponibles de la herramienta, así como los
plugins que se pueden utilizar por defecto. Ejecuta los comandos:
volatility3 -h
volatility3 <plugin> -h
Unidad 5
18
Taller 3
3 PLUGINS
Unidad 5
19
Taller 3
4
SISTEMA OPERATIVO
WINDOWS
Unidad 2
20
Actividad 1
4 SISTEMA OPERATIVO WINDOWS
Imageinfo: muestra los detalles del sistema operativo y del Kernel de la muestra de memoria que se está
analizando con el comando volatility3 -f “/path/to/file” windows.info.Info
Unidad 5
22
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
23
Taller 3
4 SISTEMA OPERATIVO WINDOWS
procDump: vuelca el contenido del archivo que se encuentra en caché de las muestras de memoria de Windows
a nuestro equipo. Ejecuta el comando volatility3 -f “/path/to/file” -o “/path/to/dir”
windows.Dumpfiles.DumpFiles [--pid <PID>]
memDump: imprime el mapa de memoria, el cual muestra como está distribuida la memoria. Ejecuta el
comando volatility3 -f “/path/to/file” -o “/path/to/dir” windows.memmap.Memmap --Dump --pid <PID>
Unidad 5
26
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
27
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
28
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
30
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Hivelist: enumera las secciones de registro presentes en la memoria de Windows. Ejecuta el comando
volatility3 -f “/path/to/file” windows.registry.hivelist.HiveList
Unidad 5
33
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
34
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Printkey: enumera las claves de registro bajo un hive o un valor de clave específico. Ejecuta los comandos:
Unidad 5
35
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
37
Taller 3
4 SISTEMA OPERATIVO WINDOWS
FileDump: vuelca el contenido del archivo en caché de las muestras en la memoria de Windows. Ejecuta los
comandos:
Unidad 5
38
Taller 3
4 SISTEMA OPERATIVO WINDOWS
Unidad 5
39
Taller 3
4 SISTEMA OPERATIVO WINDOWS
• volatility3 -f “/path/to/file”
windows.vadyarascan.VadYaraScan
yara-file “/path/to/file.yar”
• volatility3 -f “/path/to/file”
yarascan.YaraScan yara-file
“/path/to/file.yar”
Ilustración 32:
Comando Yarascan.
Unidad 5
42
Taller 3
5
OTROS SISTEMAS
OPERATIVOS
Unidad 2
43
Actividad 1
5 OTROS SISTEMAS OPERATIVOS
Además del sistema operativo anterior, la herramienta también ofrece plugins para otros sistemas operativos, como
Linux y Mac.
Unidad 5
44
Taller 3
6
ANÁLISIS DE UN
VOLCADO DE
MEMORIA CON
VOLATILITY
Unidad 2
45
Actividad 1
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• Para comenzar con el análisis de un volcado de memoria con Volatility en primer lugar debes descargarte la muestra
que va a ser objeto de análisis: «memory_2.dmp». Puedes guardarla en la ruta de tu preferencia, en nuestro caso
la guardamos en la carpeta de descargas, en la siguiente ruta «/home/alumno/Descargas».
• Abre un terminal dentro de la carpeta en la que se encuentra la muestra que vas a analizar. Haz clic derecho con el
ratón en la carpeta y pulsa «abrir terminal». Tras esto, lanza los siguientes comandos y analiza los resultados.
• Lanza el plugin de «.info» para que se presente con la información relevante al sistema operativo al que pertenece
la memoria, así sabrás qué plugins lanzar.
Unidad 5
46
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
Unidad 5
47
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• En este caso, la máquina es Windows por lo que puedes utilizar todos los plugins de los que dispone Windows.
Ahora, para poder observar los procesos que están siendo ejecutados, lanza los plugins «psscan», «pslist» o
«pstree».
Unidad 5
48
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• Otro dato importante que mostrarán estos comandos son los PID y PPID, que son los ID de los procesos. Esto será
útil para revisar la jerarquía de procesos y detectar anomalías.
Unidad 5
49
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• Entre los procesos que estaban en ejecución, puedes observar uno que destaca entre todos debido a que su nombre
no es común. También podemos observar que se ejecuta dos veces este proceso siendo la segunda ejecución del
proceso ejecutado por el primer proceso lo que lo hace aún más sospechoso:
Unidad 5
50
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• Ahora lanzaremos el comando pslist con el pid del padre del proceso para averiguar quien ha ejecutado el proceso
sospechoso.
• Puedes observar que el archivo fue lanzado desde el explorador, lo cual descartaría una ejecución por el sistema e
indicaría que posiblemente se haya realizado por un usuario.
Unidad 5
51
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• Continuando con el análisis, realiza un dump del proceso para poder analizarlo con otras herramientas externas.
• Una vez extraído el volcado del proceso, puedes utilizar el comando String para ver las cadenas de texto y poder
observar cadenas sospechosas.
Unidad 5
52
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• También puedes analizar el volcado de memoria del proceso con un antivirus. Por ejemplo, puedes descargar el
antivirus gratuito Clamav. Para instalarlo, ejecuta el comando apt-get install clamav
Unidad 5
53
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• A continuación, actualiza las firmas de Clamav antes de ejecutarlo utilizando el comando freshclam
Unidad 5
54
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
• Tras instalarlo pasa el archivo que has extraído del proceso malicioso de la siguiente forma. El antivirus, tras
analizarlo, proporcionará los resultados. Ejecuta el comando clamscan pid.884.0x6000.dmp
Unidad 5
55
Taller 3
6 ANÁLISIS DE UN VOLCADO DE MEMORIA CON VOLATILITY
Como vemos el antivirus lo ha detectado como malware, «Infected files:1», por tanto, podemos llegar a la conclusión de
que, tras realizar una revisión del volcado de memoria, se han encontrado trazas de un troyano en el archivo
«KeywordSRC.exe» que se estaba ejecutando en el equipo en el momento de la extracción.
Unidad 5
56
Taller 3
EJERCICIOS
PRÁCTICOS
7
7.1 Enunciado ejercicio práctico 1
7.2 Solución ejercicio práctico 1
7.3 Enunciado ejercicio práctico 2
7.4 Solución ejercicio práctico 2
7.5 Enunciado ejercicio práctico 3
7.6 Solución ejercicio práctico 3
7.7 Enunciado ejercicio práctico 4
7.8 Solución ejercicio práctico 4
Unidad 2
57
Actividad 1
7 EJERCICIOS PRÁCTICOS
7.1 Enunciado ejercicio práctico 1
Unidad 5
58
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Primero, lanza el comando pslist para comprobar los procesos en ejecución dentro de la muestra de memoria.
Unidad 5
59
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
Unidad 5
60
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
Unidad 5
61
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Lo siguiente que conviene comprobar es el proceso padre para saber de dónde ha salido este proceso sospechoso.
El proceso «svchost.exe» normal, suele tener como padre al proceso «service.exe» que en este caso tiene como
PID 596. Puedes comprobarlo lanzando el siguiente comando:
Unidad 5
62
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• En cambio, el proceso «svchost.com» el PID de su padre es el 2880 que, si ejecutas el siguiente comando, verás
que corresponde a «explorer.exe», esto quiere decir, que ha sido ejecutado desde el explorador de archivos.
Unidad 5
63
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Para realizar una investigación más en profundidad de «svchost.com», extrae un dump de él mediante el siguiente
comando:
Unidad 5
64
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Ahora puedes analizar las cadenas de texto que contiene con la herramienta Strings con el siguiente comando:
• Entre las diferentes cadenas, algunas son sospechosas. Estas cadenas informan de que proceso que hemos
identificado como sospechoso realiza la descarga de contenido malicioso mediante las siguiente URLs usando el
comando wget:
Unidad 5
65
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Si analizas estas dos direcciones IP en VirusTotal, observas que algunos fabricantes de antivirus las relacionan con
actividades y ficheros maliciosos.
Unidad 5
66
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
Unidad 5
67
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Por último, de manera adicional, lanza el módulo de privileges para revisar los privilegios que se ha asignado el
proceso del sistema.
Unidad 5
68
Taller 3
7 EJERCICIOS PRÁCTICOS
7.2 Solución ejercicio práctico 1
• Algunos de los privilegios que podemos ver que se han asignado al proceso, entre muchos otros, son:
Tras el análisis del volcado de memoria, se ha identificado que el proceso «svchost.com» es malicioso y que, por tanto,
el equipo ha sido comprometido.
Unidad 5
69
Taller 3
7 EJERCICIOS PRÁCTICOS
7.3 Enunciado ejercicio práctico 2
Unidad 5
70
Taller 3
7 EJERCICIOS PRÁCTICOS
7.4 Solución ejercicio práctico 2
• Primero, con el comando psscan puedes observar los procesos en ejecución durante la captura de memoria.
• Entre los procesos puedes observar dos que destaca entre el resto por tener un nombre sospechoso compuesto por
números en lugar de tener un texto mínimamente descriptivo de qué hace. Los PIDs de ambos son 1032 y 1852 y el
PID del proceso padre es el mismo, 2836. En nuestro caso empezamos analizando el proceso 1852.
Unidad 5
72
Taller 3
7 EJERCICIOS PRÁCTICOS
7.4 Solución ejercicio práctico 2
• Ahora, comprueba quién es el proceso padre. En este caso es el correspondiente con el ID 2836.
• El proceso que lo ha lanzado ha sido «explorer», es decir, que ha sido ejecutado posiblemente por un usuario.
Unidad 5
73
Taller 3
7 EJERCICIOS PRÁCTICOS
7.4 Solución ejercicio práctico 2
• Ahora, lanza el plugin de cmdline para ver los parámetros con los que se ha lanzado el comando de ejecución del
archivo:
• En el listado, puedes observar uno que se encarga de lanzar el proceso sospechoso. También podemos identificar
que los procesos 1032 y 1832 que hemos identificado anteriormente pertenecen al mismo ejecutable.
Unidad 5
75
Taller 3
7 EJERCICIOS PRÁCTICOS
7.4 Solución ejercicio práctico 2
Unidad 5
76
Taller 3
7 EJERCICIOS PRÁCTICOS
7.4 Solución ejercicio práctico 2
Unidad 5
77
Taller 3
7 EJERCICIOS PRÁCTICOS
7.4 Solución ejercicio práctico 2
Tras el análisis de memoria, se puede concluir que has encontrado un proceso sospechoso que está asociado a un
ejecutable que se encuentra en la carpeta de descargas del usuario «Stude», en el subdirectorio «League of legends».
A fin de confirmar la infección del equipo y que efectivamente este proceso es malicioso, se debería proceder a la
extracción y análisis del archivo del equipo analizado.
Unidad 5
78
Taller 3
7 EJERCICIOS PRÁCTICOS
7.5 Enunciado ejercicio práctico 3
Unidad 5
79
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• Lanza uno de los comandos que saquen los procesos en ejecución en el volcado de memoria «pslist», «psscan» o
«pstree».
Unidad 5
80
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
Unidad 5
81
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• Algunos procesos de «msedge.exe» tienen procesos padres diferentes, pero esto lo puedes ver mejor si lanzamos
el módulo «pstree».
Unidad 5
82
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• En la imagen de la diapositiva anterior puedes observar que el proceso padre del proceso 6032 y de los procesos
2416 es el explorador de archivos. Esto es normal, dado que para acceder al navegador se hace desde el
explorador.
• Por otro lado, si te fijas en los procesos hijos, observa que el proceso «msedge.exe» con el PID 2416 a su vez crea
subprocesos «msedge.exe», lo cual es normal, dado que durante la navegación se realizan nuevas búsquedas o se
abren nuevas pestañas lo cual crea nuevos procesos. Sin embargo, el proceso 6032 tiene como proceso hijo
«powershell.exe», lo cual es bastante sospechoso, por lo que vamos a investigarlo con mayor detalle.
Unidad 5
83
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
Unidad 5
84
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• Puedes observar que, aunque hay varias comunicaciones realizadas desde «msedge.exe» ninguna se corresponde
con el proceso sospechoso (PID: 6032).
• Ahora, extrae un dump del proceso para realizar un análisis más en profundidad con el siguiente comando:
Unidad 5
85
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• Observas que el volcado no se ha podido realizar de manera correcta. Por ello, intenta obtenerlo de otra forma:
Unidad 5
86
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• Con este segundo método, has conseguido extraer el volcado de memoria del proceso. A continuación, haz uso de
la herramienta Strings para ver las cadenas de texto que contiene y, además, concatena el comando grep para
filtrar todas las cadenas que contengan la palabra «http» para buscar posibles conexiones a Internet.
Unidad 5
87
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
• En la siguiente imagen, se muestran los resultados de la ejecución del comando anterior en las que puedes ver que
hay una URL muy sospechosa:
Unidad 5
88
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
Unidad 5
89
Taller 3
7 EJERCICIOS PRÁCTICOS
7.6 Solución ejercicio práctico 3
Como conclusión, tras el análisis del volcado de memoria, has identificado un proceso «msedge.exe» que tiene un
proceso hijo «prowershell.exe», lo cual es sospechoso.
Tras revisar más en profundidad el proceso, se ha encontrado que contiene una URL sospechosa asociada a un
dominio de Rusia («.ru») y que contiene malware / spyware.
Unidad 5
90
Taller 3
7 EJERCICIOS PRÁCTICOS
7.7 Enunciado ejercicio práctico 4
Unidad 5
91
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
93
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
94
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
95
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
96
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• Si revisas el árbol de procesos marcado en rojo en la imagen anterior, ves que el proceso «Factura.exe» es un
proceso hijo de otro proceso llamado «explorer.exe», y que, además, tiene como hijo el proceso «netsh.exe». Netsh
es una utilidad de scripting de línea de comandos que permite mostrar y modificar la configuración de red de un
equipo, lo cual parece sospechoso.
• A continuación, utiliza el plugin dlllist para consultar las bibliotecas dinámicas asociadas al proceso sospechoso
identificado anteriormente. Para este plugin es necesario conocer el PID del proceso que se ha obtenido en pasos
anteriores.
Unidad 5
97
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• Como puedes observar, este plugin no proporciona ninguna información, es decir, el proceso no está vinculado a
ninguna biblioteca dinámica.
• Siguiendo con el análisis, comprueba los ficheros relacionados con el proceso sospechoso. Analizar los objetos de
exclusión mutua asociados a ese proceso. Un objeto de exclusión mutua impide que dos procesos escriban en
memoria al mismo tiempo y, además, sirve como indicador de que el sistema ya ha sido infectado evitando así su
reinfección para ahorrar recursos y permitir el avance del malware. Para analizar la existencia de un posible objeto
de exclusión mutua relacionado con el proceso sospechoso anteriormente identificado se utiliza el plugin handles y
especifícalo con el comando grep. Esto hará que se muestren únicamente aquellas líneas que contengan la palabra
«Mutant» (así se les llama a los objetos de exclusión mutua en Windows).
Unidad 5
98
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
99
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
100
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• Tras ejecutar este plugin y analizar sus salidas no se observa nada fuera de lo común. De forma más específica, se
han buscado las siguientes claves de registro, también llamadas keys en Volatility:
Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\RunOnce
Estas claves se utilizan para la ejecución de un programa al inicio de la sesión del usuario en el equipo.
Unidad 5
101
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
102
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
103
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
• Para observar el contenido de esta carpeta en el análisis con Volatility se puede utilizar el plugin filescan seguido del
comando grep y especificando la cadena Startup. Este plugin escanea todos los ficheros del volcado de memoria y
con el comendo grep se mostrarán aquellos que en su ruta o en su nombre tengan la palabra «Startup».
Unidad 5
104
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Ilustración 84: Comando de análisis filescan para buscar el nombre de archivo (I).
Unidad 5
105
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• Como se puede apreciar, no aparece ningún otro archivo con el mismo nombre en otra carpeta. Haz el mismo
proceso anterior, pero con el nombre del proceso sospechoso inicial «Factura.exe».
Ilustración 85: Comando de análisis filescan para buscar el nombre de archivo (II).
Unidad 5
106
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• A continuación, se va a analizar información de red, para lo que utiliza los plugins netscan y netstat
Unidad 5
107
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
108
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
109
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
110
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
111
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
Unidad 5
112
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• En este caso, fijamos en el proceso sospechoso inicial, «Factura.exe». Como puede apreciarse, la salida del plugin
indica que probablemente, debido a falta de memoria en el equipo, no se pudo ejecutar. Además, si observas el
proceso siguiente, que ya se ha identificado como el proceso hijo de «Factura.exe» muestra un error por cierre del
proceso padre.
• Si buscas el proceso padre de «Factura.exe», que se ha identificado como «explorer.exe», se observa el argumento
/LOADSAVEDWINDOWS, que se trata del proceso principal al utilizar explorer.exe.
Unidad 5
113
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• Para finalizar el análisis, otro plugin importante que ofrece Volatility es el plugin malfind. Este plugin ayuda a buscar
código oculto o inyectado en el espacio de memoria del usuario. En definitiva, permite buscar indicadores maliciosos
en los procesos que se encuentran en memoria.
Unidad 5
114
Taller 3
7 EJERCICIOS PRÁCTICOS
7.8 Solución ejercicio práctico 4
• Como puede observarse en la imagen de la diapositiva anterior, se encuentra el proceso sospechoso inicial
«Factura.exe».
Tras el análisis del volcado de memoria, has encontrado trazas de código malicioso, concretamente asociado al proceso
«Factura.exe» que se encuentra en ejecución. También has podido verificar que el malware ha ganado persistencia al
copiarse en la carpeta de inicio e Windows del usuario «Stude», lo que le permite ejecutarse al inicio de sesión del
usuario.
Unidad 5
115
Taller 3
¡GRACIAS!
Unidad 5
Taller
1163