Hoja de respuestas

Módulo Análisis Forense

Nombre y apellidos Angel Darío Morón Feliz

Fecha entrega 29 de mayo de 2019

Enunciado

La empresa Invent S.L, que dispone de sedes en Australia, Italia y España, ha sufrido un incidente
de seguridad en cada una de ellas.

Sede en Australia

Por una parte, en la sede de Australia, se ha detectado la fuga de información sensible de varios
de sus empleados (direcciones de correo y contraseñas). El conjunto de afectados indica haber
recibido una campaña de correos sospechosos con adjuntos HTML similares al portal de Office 365
durante los últimos días. Esta empresa no tiene (2FA) factor de autenticación en dos pasos, por lo
que un atacante podría acceder al correo corporativo y otro tipo de aplicativos públicos en
Internet alojados en Microsoft. Puesto que hay más de 10.000 empleados en la empresa, no es
posible el reseteo y bloqueo de todas las cuentas por motivos de continuidad de negocio, por lo
que es necesario localizar únicamente a los afectados.

Sede en Italia

Por otra parte, en Italia se ha producido un acceso no autorizado a uno de sus servidores de
contabilidad. Dicho acceso ha sido detectado mediante una revisión periódica por el equipo de IT.
En este caso, el equipo planea contratar a un proveedor externo para que se haga cargo de este
incidente.
 Sede en España

Finalmente, en la sede de España, se ha detectado un ataque en uno de los servidores de su

fábrica de textiles. Todos los archivos del servidor han sido cifrados con la extensión “.NM4”. Estos
equips estaban parcheados contra MS17-010.

Puesto que formamos parte del equipo de respuesta ante incidentes de la compañía, nuestra
misión consiste en descubrir qué ha pasado en cada una de las situaciones que se plantean.
Para ello el equipo de IT nos ha facilitado las siguientes evidencias:

Australia: logs de tráfico del proxy de navegación en el intervalo de fechas en el que se produjo el
incidente.

Italia: ninguna puesto que se encargará un proveedor externo.

España: estado de los puertos abiertos en el sistema y parte del mensaje de rescate.

Se pide

Antes de analizar las evidencias:

 ¿Qué tipo de amenaza ha impactado en la sede de Australia? (0,5p)

 ¿Qué tipo de amenaza ha impactado en la sede de Madrid? (0,25p)
 ¿Qué riesgo existe para una entidad cuando se produce una fuga de información como la
descrita en el incidente de Australia? (0,75p)

Sobre el incidente de Italia:

 ¿Se debería desconectar el equipo de la red para su análisis? (0,2p)

 ¿Qué parte hardware del servidor se debería clonar/volcar antes de apagar el equipo?
(0,1p)
 ¿Mediante qué conocido comando se realizaría el clonado del disco duro? Escribir un
ejemplo de ejecución. (0,2p)
 ¿Qué habría que calcular tras el clonado del disco para verificar su integridad? (0,1p)
 Describa brevemente la cadena de custodia que se debe seguir para el traspaso de las
evidencias al proveedor externo (máx. 15 líneas) (0,4p)
 Analizar las evidencias facilitadas para la sede de Australia:

 Generar un script para parsear la captura de tráfico facilitada, de forma que muestre el
resultado final por línea de comandos. (2p)
 ¿Qué direcciones de correo de usuario se han visto afectadas? Se puede realizar un análisis
manual si no se ha conseguido realizar el apartado anterior. (1,5p)

Analizar las evidencias facilitadas para la sede de Madrid:

 ¿Cómo funciona este tipo de amenaza? (máx. 5 líneas) (1p)

 ¿Se podrían recuperar los datos a día de hoy? (0,25p)
 ¿Cuál ha sido el vector de entrada utilizado por esta amenaza? (Utilizar la evidencia
spain.jpg) (0,75p)
 Implementar contramedidas para la sede de Australia de cara a que no se vuelva a repetir
este tipo de incidente. (1p)
 Implementar contramedidas para la sede de Madrid de cara a que no se vuelva a repetir
este tipo de incidente. (1p)
  ¿Qué tipo de amenaza ha impactado en la sede de Australia? (0,5p)

En el incidente de Australia se ha producido un ataque de Ingeniería Social denominado Phising en

el cual se debió enviar un correo a los usuarios pidiendo que abran un archivo HTML, en el cual
posteriormente se le pediría que ingresen la cuenta de correo y contraseña, y de ese modo
enviársela a los atacantes.

 ¿Qué tipo de amenaza ha impactado en la sede de Madrid? (0,25p)

Han sufrido un ataque con el Ransomware que se llama RANSOM XPAN, el cual se distribuye a
través de correo electrónico, descargar de aplicaciones gratuitas, entre otros medios.

 ¿Qué riesgo existe para una entidad cuando se produce una fuga de información como la
descrita en el incidente de Australia? (0,75p)

Este incidente es muy grave y supone un enorme impacto negativo para toda la empresa que ha
sido atacada, debido a que al obtener el correo y la contraseña de varios de sus empleados podría
obtener informaciones confidenciales, acceso a otros servicios, debido a que los usuarios suelen
usar la misma contraseña para todos los acceso, incluyendo contraseña de acceso al ordenador de
la empresa. Con este incidente, la empresa perdería reputación, confiabilidad y puede haber
perdido documentos como listas de clientes.

Sobre el incidente de Italia:

 ¿Se debería desconectar el equipo de la red para su análisis? (0,2p)

Sí, en este caso se debería desconectar de la red el equipo del usuario afectado, para así evitar
que se propague la amenaza entre los demás usuarios.

 ¿Qué parte hardware del servidor se debería clonar/volcar antes de apagar el equipo?
(0,1p)

Se debería clonar/volcar toda la memoria RAM para su posterior análisis.

 ¿Mediante qué conocido comando se realizaría el clonado del disco duro? Escribir un
ejemplo de ejecución. (0,2p)

RamCapture64.exe "C:\Users\pesanchez\Desktop\Forense Avanzado\memoriaRAM.dmp”

El siguiente ejemplo está basado en Ubuntu:

Ftkimager /dev/sdb /home/Ubuntu/Desktop/Backup/image --e01 --frag 1500MB --compress 6

–case-number case_number –evidence-number 1 --description OS_Backup --examiner Dario
--notes Backup-completo

Nota:

1. /dev/sdb – Es el disco origen, ósea desde el cual haremos el clonado de la RAM.

2. /home/Ubuntu/Desktop/Folder/image – Disco, en el cual se almacenará la copia.
3. –e01 – Formato de la imagen.
4. –frag 1500MB, Cada archive tendrá un tamaño máximo de 1500 Megabytes.
5. –compress 6, Nivel de compresión del disco.
6. –case-number, Número de caso.
7. –evidence-number, Número de evidencia.
8. –description, Cualquier comentario del caso.
9. –examiner, Tú nombre complete o algún alias.
10. –notes, Cualquier nota adiccional.

 ¿Qué habría que calcular tras el clonado del disco para verificar su integridad? (0,1p)

Después de finalizado el clonado, se debe verificar el hash del disco para comprobar que la
copia es idéntica al original.

 Describa brevemente la cadena de custodia que se debe seguir para el traspaso de las
evidencias al proveedor externo (máx. 15 líneas) (0,4p)
 Identificar los medios físicos y hacer un inventario de todos los dispositivos.
 Realizar fotografía del entorno donde se ha producido el suceso.
 Vídeo grabación con fecha y hora.
 Separación de los dispositivos, etiquetado y protección de estos.
 Documentación y registros de control. (apertura de acta y registro de número de serie y
elementos).
 Firma del acta de los intervinientes.
 Certificación de Entrada – Salida – Entrada (registro de salidas).
 Analizar las evidencias facilitadas para la sede de Australia:

 Generar un script para parsear la captura de tráfico facilitada, de forma que muestre el
resultado final por línea de comandos. (2p)

 ¿Qué direcciones de correo de usuario se han visto afectadas? Se puede realizar un

análisis manual si no se ha conseguido realizar el apartado anterior. (1,5p)

mgarcia@invent.com

Analizar las evidencias facilitadas para la sede de Madrid:

 ¿Cómo funciona este tipo de amenaza? (máx. 5 líneas) (1p)

Es una infección de malware bien diseñada que se centra en encriptar los archivos de los
usuarios con una combinación complicada de algoritmos. El virus NM4 pertenece a la
familia de variantes de ransomware que emplean tanto encriptación AES y RSA para
complicar el proceso de desencriptación de los datos electrónicos

 ¿Se podrían recuperar los datos a día de hoy? (0,25p)

El virus NM4 no es desencriptable por el momento.

 ¿Cuál ha sido el vector de entrada utilizado por esta amenaza? (Utilizar la evidencia
spain.jpg) (0,75p)

Una vulnerabilidad en el NETBIOS o el sistema que permite compartir archivos e

impresoras, el cual está escuchando por el puerto 139.
 Implementar contramedidas para la sede de Australia de cara a que no se vuelva a
repetir este tipo de incidente. (1p)
 En el incidente de Australia se debe formar a los usuarios, para que no pinchen enlaces de
correo sospechosos, además alertarlos de que los posibles ataques que se están generando
en la actualidad. Se le debe indicar que nunca deben introducir usuario y contraseña
posterior al pinchar algún enlace y si han abierto algún archivo php o html.
 Actualizar el antivirus y todo el software que se tenga instalado.
 Dar los mínimos privilegios posibles a los usuarios.
 Se debe cerrar todos los puertos que no sean necesario para el usuario.
 Prohibir la ejecución de todo tipo de scritp a través de políticas de seguridad,
principalmente desde la carpeta de los archivos temporales.

 Implementar contramedidas para la sede de Madrid de cara a que no se vuelva a repetir

este tipo de incidente. (1p)

1. Hacer un backup diario de los archivos de los usuarios de la empresa

2. Mostrar las extensiones de los archivos ocultos
3. Filtrar los archivos .EXE y scrip en el correo electrónico
4. Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData
5. Deshabilitar RDP
6. Instalar las actualizaciones de seguridad del software y del sistema operativo
7. Instalar un software anti malware
8. Usar bloqueadores de Javascript
9. Cuentas con los minimos privilegios posible