Escenario
John Doe fue acusado de realizar actividades ilegales. Se tomó una imagen de disco de su computadora portátil. Su tarea como analista soc es analizar la imagen y comprender lo que sucedió debajo del capó.
Preguntas
¿Cuál es el valor hash MD5 del disco sospechoso?
El valor hash MD5 del disco sospechoso es: 9471e69c95d8909ae60ddff30d50ffa1. La información se obtuvo con la herramienta FTK Imager y la funcionalidad "Verify Drive/Image".
¿Qué frase buscó el sospechoso el 29-04-2021 a las 18:17:38 UTC? (tres palabras, dos espacios en medio)
La frase que busco el sospechoso fue: password cracking lists. La información se obtuvo con la herramienta FTK Imager y DB Browser for SQLite.
Con la herramienta FTK Imager extraemos el archivo History.
Una vez exportado el archivo con la herramienta DB Browser for SQLite lo abrimos y analizamos la tabla de la base de dato "keyword_search_terms".
La dirección IPv4 del servidor FTP la cual se conectó el sospechoso es: 192.168.1.20. La información se obtuvo con la herramienta FTK Imager.
Con FTK Imager exportamos el archivo filezilla.xml.
Luego leemos el archivo con la herramienta nano o con su editor favorito.
¿En qué fecha y hora se eliminó una lista de contraseñas en UTC? (AAAA-MM-DD HH:MM:SS UTC)
La fecha en que se eliminó una lista de contraseñas es: 2021-04-29 18:22:17 UTC. La información se obtuvo con la herramienta FTK Imager. Cabe mencionar que se está analizando una imagen forense de un sistema operativo Windows, por lo tanto, si se a eliminado un alistado de contraseña (archivo de contraseña) nuestro artefacto de análisis debe ser la papelera de reciclaje.
Luego, analizamos su contenido.
El número de veces que se ejecutó Tor Browser fue 0 veces. Esta información se obtuvo de los archivos prefetch en particular "TORBROWSER-INSTALL-WIN64-10.0-F3C4DF19.pf". Para extraer el archivo se utilizó la herramienta FTK Imager.
Para analizar este archivo utilizaré la herramienta PECmd.exe. En mi entorno de trabajo cuento con una máquina Linux y una máquina Windows para hacer el análisis forense. Por lo tanto, exporte en archivo "TORBROWSER-INSTALL-WIN64-10.0-F3C4DF19.pf" a mi máquina Windows para ejecutar PECmd.exe.
El resulta de ejecutar PECmd.exe creara el siguiente directorio(pf.cvs) con los siguientes archivos 20230726050036_PECmd_Output.csv y 20230726050036_PECmd_Output_Timeline.csv.
El archivo que nos interesa es ...PECmd_Output.csv y su columna RunCount.
Al analizar el archivo la columna RunCount indica que la aplicación se ejecutó 1 vez, pero la respuesta correcta es 0 veces. Seguro hay algún error en el CTF.
¿Cuál es la dirección de correo electrónico del sospechoso?
El correo mail del sospechoso es dreammaker82@protonmail.com. La información se obtuvo analizando la base de datos History en las tablas urls en la columna title. Recordar que este archivo lo exportamos con la herramienta FTK Imager anteriormente.
¿Cuál es el FQDN que realizó el escaneo del puerto sospechoso?
El FQDN es dfir.science. La información se obtuvo con la herramienta FTK Imager y el archivo y el archivo ConsoleHost_history.txt.
¿En qué país supuestamente se tomó la imagen "20210429_152043.jpg"?
El país donde se tomó la fotografía es Zambia. La información se obtuvo con las herramientas FTK Imager, Exiftool y GPS Coordinates Finder.
Con la herramienta FTK Imager exporte el archivo 20210429_152043.jpg.
Luego, con la herramienta Exiftool extraemos los metadatos.
¿Cuál es el nombre de la carpeta principal de la imagen "20210429_151535.jpg" antes de que el sospechoso la copie a la carpeta "contacto" en su escritorio?
El nombre de la carpeta principal de la imagen 20210429_151535.jpg es Camera. La información se obtuvo con la herramienta ShellBags Explorer.
Aquí toca hacer un poco de análisis primero examinamos los metadatos de el archivo 20210429_151535.jpg con la herramienta ExifTool.
Como se muestra en la imagen obtenemos la marca y modelo de la cámara. Por lo tanto, podemos deducir que al ordenador se conectó una cámara fotográfica o un móvil. Con la herramienta ShellBags Explorer lo descubriremos.
Como se puede observar en la imagen conectaron un dispositivo móvil al ordenador y el directorio donde se almacenó la imagen 20210429_151535.jpg es Camera.
Los hashes de contraseña de Windows para una cuenta se encuentran a continuación.
Anon:1001:aad3b435b51404eeaad3b435b51404ee:3DE1A36F6DDB8E036DFD75E8E20C4AF4::: ¿Cuál es la contraseña del usuario?La contraseña del usuario es: AFR1CA!. La información se obtuvo con la herramienta hashes.com.
¿Cuál es la contraseña de inicio de sesión de Windows del usuario "John Doe"?
La contraseña de inicio de sesión de Windows del usuario Jhon Doe es ctf2021, La información se obtuvo con la herramienta FTK Imager y el conjunto de herramientas de python3-impacket y John the ripper.
Como primer paso de debemos exportar los archivos Hive de la imagen forense.
Luego, con la herramienta python3-impacket obtenemos los hashes de las contraseñas de usuario del Hive SAM.
Copiamos y guardamos solo los hashes en un archivo con extensión .txt
Luego con la herramienta John the ripper crackeamos los hashes.
Happy hack!!!
Comentarios
Publicar un comentario