Cyberdefenders Práctica Insider, Champlain College - Digital Forensics

Escenario

Después de que Karen empezara a trabajar para 'TAAUSAI', empezó a realizar algunas actividades ilegales dentro de la empresa. TAAUSAI' te contrató para iniciar una investigación sobre este caso.

Adquiriste una imagen de disco y descubriste que Karen utiliza el sistema operativo Linux en su máquina. Analiza la imagen de disco del ordenador de Karen y responde a las preguntas proporcionadas.

Preguntas

¿Qué distribución de Linux se utiliza en esta máquina?

La distribución utilizada es Kali amd64. La evidencia se obtuvo con la herramienta FTK Imager se observó el mapa del sistema en la carpeta boot.

¿Cuál es el hash MD5 de apache access.log?

El hash MD5 del archivo apache Access.log es d41d8cd98f00b204e9800998ecf8427e. La evidencia se obtuvo con la herramienta FTK Image.

Se cree que se descargó una herramienta de volcado de credenciales ¿Cuál es el nombre del archivo de la descarga?

El nombre del archivo de descarga es mimikatz_trunk.zip. La evidencia se obtuvo con la herramienta FTK Imager.

Se creó un archivo supersecreto ¿Cuál es la ruta absoluta?

La ruta absoluta del archivo es /root/Desktop/SuperSecretFile.txt. La evidencia se obtuvo analizando el archivo .bash_history con la herramienta cat de Linux.

¿Qué programa usó didyouthinkwewedmakeiteasy.jpg durante la ejecución?

El programa que usó didyouthinkwewedmakeiteasy.jpg es binwalk. La evidencia se obtuvo al analizar el archivo .bash_history con la herramienta cat de Linux.

¿Cuál es el tercer objetivo de la lista de verificación que creó Karen?

El tercer objetivo de la lista de verificación es Profit. La evidencia se obtuvo al analizar el archivo Checklist.txt que se encuentra en la ruta /root/Desktop/Checklist.txt. El análisis se realizo con la herramienta cat de Linux.

¿Cuántas veces se ejecutó apache?

Apache no se ejecutó en la máquina. Se concluyó esto al analizar los archivo logs de apache estos estaban vacíos.

Se cree que esta máquina fue utilizada para atacar a otra. ¿Qué archivo prueba esto?

Al analizar los archivos de la imagen se puede observar un archivo de imagen llamado irZLAohL.jpeg al ver la imagen se puedo observar que se está ejecutando un archivo en la ventana de comando (cmd) con privilegio de administrador. La evidencia se obtuvo al volcar el archivov(irZLAohL.jpeg) con la herramienta FTK Imager.

Dentro de la ruta del archivo Documentos, se cree que Karen se estaba burlando de un compañero experto en informática a través de un script bash. ¿De quién se burlaba Karen?

Karen se está burlando de Young. La evidencia se obtuvo al analizar el Directorio Documents/myfirsthack/. Se observa que existe un archivo llamado firstscript_fixed

Un usuario hizo root a las 11:26 varias veces. ¿Quién fue?

El usuario que hizo root fue el usuario postgres. La evidencia se obtuvo analizando el archivo auth.log en directorio /var/log/. Con la herramienta strings y grep de Linux.

Según el historial de bash, ¿cuál es el directorio de trabajo actual?

El directorio actual de trabajo es /root/Documents/myfirsthack/. La evidencia se obtuvo analizando el archivo .bash_history con la herramienta strings y grep de Linux.