Documente Academic
Documente Profesional
Documente Cultură
Presentado a:
Informática Forense
pág. 1
TABLA DE CONTENIDO
INTRODUCCION ...................................................................................................................................................5
OBJETIVOS ...........................................................................................................................................................6
1. HERRAMIENTAS UTILIZADAS .................................................................................................................7
2. INSTALACION DE HYPERVISOR. ............................................................................................................7
3. INSTALACION DE WINDOWS 10 .............................................................................................................9
4. INSTALACION DE SOFTWARE NECESARIO .................................................................................... 10
5. CREACION Y EXTRACCION DE IMAGEN DE DISCO ...................................................................... 15
6. APERTURA Y ANALISIS DE IMAGEN DE DISCO POR MEDIO DE AUTOPSY Y EXIFTOOL.. 17
7. LA INFORMACIÓN DEL REGISTRO DE WINDOWS SEGÚN EL DOCUMENTO DE LECTURA.
20
8. RASTREO DE LA EJECUCIÓN DEL ARCHIVO. ................................................................................ 25
9. PROPUESTAS DE RESPUESTA ANTE ESTE TIPO DE INCIDENTES DE SEGURIDAD. ......... 28
9.1 Cifrar las todas las comunicaciones de la compañía: ................................................................... 28
9.2 Implementación de zona DMZ: ......................................................................................................... 29
9.3 Implementación y gestión de políticas de seguridad: ................................................................... 29
9.4 Control de parches y actualización de sistemas:........................................................................... 29
9.5 Filtrado por MAC: ................................................................................................................................ 29
9.6 Implementación y Configuración de un Firewall: ........................................................................... 30
9.7 Implementación de Auditorias: ......................................................................................................... 30
9.8 Capacitación al personal: .................................................................................................................. 30
9.9 Instalación de antivirus para la compañía: ..................................................................................... 30
10. Que sucedido para que sucediera este incidente: ...................................................................... 31
CONCLUSIONES ............................................................................................................................................... 32
BIBLIOGRAFIA .................................................................................................................................................. 33
pág. 2
LISTA DE FIGURAS
pág. 3
Figura 22. Apertura de imagen con Autopsy…………………………………..….………………18
pág. 4
INTRODUCCION
Se revisó además, algunas de las vulnerabilidades presentes en el S.O Windows 10, el cual
mediante el uso de la aplicación Virtual Box, se sometió a análisis y ejecución de aplicaciones
para comprobar su seguridad; teniendo en cuenta que la seguridad es uno de los factores muy
importantes a la hora de llevar una adecuada gestión desde nuestra labor como profesionales
en el área de las Seguridad Informática.
pág. 5
OBJETIVOS
OBJETIVO GENERAL
OBJETIVOS ESPECIFICOS
pág. 6
1. HERRAMIENTAS UTILIZADAS
Para llevar a cabo el desarrollo del laboratorio se utilizaron las siguientes herramientas:
- Virtual box
- Equipo prueba con Windows 10
- Winrar
- MSOffice versión mínima 2013
- FOXIT
- Mozilla FireFox
- KMSpico
- FTKimager
- Autopsy
- Exiftool.
2. INSTALACION DE HYPERVISOR.
El primer paso es generar la descarga del hipervisor para este caso se utilizó Virtual Box,
donde la descarga se realizó desde el sitio oficial virtualbox.org descargando la versión 6.0
como se observa en la siguiente imagen:
Después del proceso de instalación ya tendremos nuestra herramienta lista para trabajar,
realizando la apertura de esta, si todo quedo correctamente nos mostrara la siguiente pantalla:
pág. 8
Figura 4. Interfaz VirtualBox
3. INSTALACION DE WINDOWS 10
Luego y según los parámetros de la guia agregamos un usuario con su respectiva contraseña.
pág. 9
Figura 6 Creación de usuario.
pág. 10
Figura 8 Instalación de Foxit Reader.
pág. 11
Figura 10 Instalación de KMSpico
pág. 12
Figura 12 Descarga de 10 archivos
Ahora Procedemos con la asignación de la IP estatica según la guia con la IP del equipo del
gerente.
pág. 13
Figura 14 Asignación de IP.
Luego de esto realizamos 10 búsquedas de páginas web por medio del navegador Mozilla
Firefox
pág. 14
Figura 16 Apertura de 10 URL con Firefox
Ahora procedemos al envió de dos correos electrónicos, para este caso lo realizamos por
medio de Gmail.
pág. 15
Seguidamente vamos a realizar la extracción de la imagen del SO por medio de FTKimager
para ello es necesario instalar el aplicativo.
Realizamos la ejecución, para efectuar la creación de la imagen del sistema operativo que
estamos corriendo para el ambiente de prueba.
Si todo salió correctamente nos debe aparecer una ventana similar a la que se muestra a
continuación.
pág. 16
Figura 20 Hash de imagen
Luego de exportar la imagen creado por FTKimager procedemos a realizar la revisión, para
esto lo realizaremos por medio de la herramienta Autopsy.
pág. 17
Figura 22. Apertura de imagen con Autopsy
Con esto ya tendremos toda la información para comenzar a realizar el análisis respectivo.
En lo explorado con la herramienta autopsy sobre la imagen encontramos una gran cantidad
de información como lo es rutas de carpetas con sus respectivos archivos, software instalado
en el equipo, información de volúmenes de disco, información con cache y todo lo relevante a
la navegación, también podemos observar incluso los archivos que fueron eliminados por el
pág. 18
usuario. Toda la información contenida en la imagen puede ser exportando para
posteriormente generar un análisis más exhaustivo sobre los archivos.
Para dicho análisis seleccionaremos uno de los archivos y lo extraemos, luego realizamos el
análisis con la herramienta Exiftools como se observa en la siguiente imagen.
Podemos observar el nombre del archivo, el tipo de documento, cuando fue creado, los
permisos del archivo entre otros datos importantes que podemos utilizar para averiguar
información relevante de una organización.
pág. 19
7. LA INFORMACIÓN DEL REGISTRO DE WINDOWS SEGÚN EL DOCUMENTO DE
LECTURA.
pág. 20
Figura 26 información del sistema.
Registry Settings
Proporciona una información valiosa en la investigación la cual es el almacenamiento
protegido, esta información está cifrada pero con un buen kit de forense se puede descifrar
la información.
pág. 21
Unas computadoras están configuradas con untos de restauración que se almacenan
en:HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \
SystemRestore El investigador puede encontrar esos puntos de restauración. Para acceder a
esta área se puede ejecuta Regedit.
Event
Son registros de eventos almacenados en el disco, se pueden utilizar herramienta para
recuperar estos registro de eventos, en este caso se utilizó PSTools, es una carpeta con
varios ejecutables los cuales se ejecutan por consola uno de ellos es psloglist
Swap file
En informática forense es útil en cuanto es referido a un archivo de intercambio en cuanto
que logra fingir mediante la extensión de la memoria real RAM una mayor capacidad, los
archivos usados se intercambian en el disco duro, para cuando sean requeridos. La ventaja
de un archivo de intercambio es que se puede organizar como un espacio contiguo único
para que se requieran menos operaciones de E / S para leer o escribir un archivo completo.
En Windows, el archivo de intercambio es un archivo oculto en el directorio raíz llamado
pagefile.sys. La ruta de registro para el archivo de intercambio es
HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Control \ Session Manager \ Memory Administración.
pág. 22
Figura 29 Memory Administracion
Connected Devices
pág. 23
Herramienta: DriveSpy
pág. 24
8. RASTREO DE LA EJECUCIÓN DEL ARCHIVO.
Con el análisis realizado por nuestro equipo de trabajo se pudo evidenciar información
importante con respecto al aplicativo potencialmente no deseado (APND); Esta información
fue obtenida desde la imagen creada al equipo y otra parte de la información fue obtenida
directamente desde el equipo.
A continuación, se evidencia la ruta del ejecutable de KMSpico, para este caso se encuentra
en descargas del usuario administrador que para este caso es el gerente.
pág. 25
Posteriormente y apoyándonos en la herramienta Autopsy visualizamos la ruta donde está
instalado el aplicativo para este caso se encuentra en Program File y crea una carpeta
llamada KMSpico, como se observa en la siguiente imagen.
pág. 26
Generando revisión de las tareas programadas se comprobó que KMSpico crea una tarea
programada llamada AutoPico que se ejecuta todos los días a las 11:59 p.m, esta
información se puede corroborar en la siguiente imagen.
Continuando con el análisis del aplicativo y revisando los registros, se encontramos 2 claves
de registro y 20 valores.
pág. 27
En la búsqueda de información se pudo evidenciar que KMSpido crea un total de 91 carpetas
y 395 archivos dentro de nuestro sistema operativo esta información se puede observar más
a detalle en la siguiente imagen.
pág. 28
9.2 Implementación de zona DMZ:
pág. 29
9.6 Implementación y Configuración de un Firewall:
Uno de los pilares más importantes en la seguridad informática es sin duda alguna
el mismo usuario del sistema, mantener una capacitación constante sobre las
amenazas y buenas prácticas de seguridad informática y ciberseguridad, permiten
reforzar el sistema contra ataques que incluyan además la aplicación de ingeniería
social; si el usuario del sistema conoce los modos en que un atacante puede
vulnerar la seguridad del sistema, pudiera evitar en mayor medida que se permita o
se lleve a cabo una intrusión de este tipo. Todo el personal de la red debe conocer
a través de las políticas de seguridad, las buenas prácticas que puede aplicar para
apoyar el sistema de seguridad, y de igual manera, debe reconocer algunos de los
modos de operación de los ataques informáticos más comunes que puedan
vulnerar el sistema si se lo permiten inconscientemente.
Con respecto al segundo incidente de seguridad, en los análisis realizados a los equipos
de cómputo y al gestor de bases de datos se evidencia conexiones y extracción de
información por medio de un usuario autorizado que tenía permisos sobre dichas
maquinas, estas conexiones se realizaron desde la misma red LAN de la compañía, en
los registros de sistema de windows y Linux se observa la conexión en diferentes horarios
desde una IP que corresponde al equipo del gerente de la compañía y coincide en las
fechas con el incidente anterior, lo que conlleva a que el equipo del gerente fue infectado
con malware, este malware realizo escaneos en la red y extrajo información de
contraseñas cuando los ingenieros generaron conexiones a los equipos, este debido a
que el tráfico y las conexiones que se generan internamente entre equipos no están
cifradas por ningún medio, lo que permitió conectarse al servidor de MYSQL y extraer la
información.
pág. 31
CONCLUSIONES
pág. 32
BIBLIOGRAFIA
EC-Council - Computer Forensics_ Hard Disk and Operating Systems (Ec-Council Press
Series _ Computer Forensics) -Course Technology (2010).pdf. (2010). Retrieved 7
October 2019, from https://drive.google.com/file/d/1GSxr-
CN8FRG_K4Zy1F1xnZ8r5V6kaVpD/view
Celikel, E., & Kupka, B. (2016). Ingreso a Campus Virtual - Universidad Nacional Abierta
y a Distancia UNAD. Retrieved 6 October 2019, from https://ieeexplore-ieee-
org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?tp=&arnumber=7821727
Majeed, A., Saleem, S., Imran, R., & Zia, H. (2015). Forensic Analysis of three Social
Media Apps in Windows 10. Retrieved 4 October 2019, from https://ieeexplore-ieee-
org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?tp=&arnumber=7395419
Patil, D., & Meshram, B. (2017). Extraction of Forensic Evidences from Windows Volatile
Memory. Retrieved 6 October 2019, from https://ieeexplore-ieee-
org.bibliotecavirtual.unad.edu.co/stamp/stamp.jsp?tp=&arnumber=8226164.
Cano, Y., (2015). Descubriendo los rastros informáticos 2da Edición. No disponible
digital. Recuperado de https://www.alfaomega.com.co/computacion-forense-
descubriendo-los-rastros-informaticos-2-edicion-5573.html
pág. 33