Escenario
Karen es una profesional de la seguridad que busca un nuevo trabajo. Una empresa llamada "TAAUSAI" le ofreció un puesto y le pidió que completara un par de tareas para demostrar su competencia técnica. Como analista SOC Analice la imagen de disco provista y responda las preguntas según su comprensión de los casos que le asignaron investigar.
Preguntas
¿Cuál es el nombre de usuario del administrador?
El usuario administrador es Karen. La información se obtuvo de los registros Hive específicamente del Hive SAM. Exportamos el archivo SAM con la herramienta FTK Imager y analizamos el archivo con la herramienta Fred.
El número de compilación del sistema operativo es 16299. La información se obtuvo del archivo Hive SOFTWARE. Exportamos el archivo con la herramienta FTK Imager y analizamos el archivo con la herramienta Fred.
¿Cuál es el nombre de host de la computadora?
El nombre de host de la computadora es TOTALLYNOTAHACK. La información se obtuvo del Hive SYSTEM. Exportamos el archivo con la herramienta FTK Imager y analizamos el archivo con la herramienta Fred.
Se utilizó una aplicación de mensajería para comunicarse con un compañero entusiasta de la alpaca. ¿Cuál es el nombre del software?
El nombre del software que se utilizó fue Skype. La información se obtuvo con la herramienta FTK Imager.
¿Cuál es el código postal de la publicación del administrador?
El código postal del administrador es 19709. Para obtener está información se tuvo que analizar otros artefactos. Un buen lugar donde analizar sería la base de datos del navegador Google Chrome. Exportaremos la base de datos "web data" con la herramienta FTK Imager.
¿Cuáles son las iniciales de la persona que contactó al usuario administrador de TAAUSAI?
Las iniciales de la persona que contacto al usuario administrador es MS. La información se obtuvo el archivo klovespizza@outlook.com.ost. Para su análisis utilizamos la herramienta kernel OST Viewer.
Extraemos el archivo con la herramienta FTK Imager.
Al analizar los distintos correos encontré las iniciales del contacto.
¿Cuánto dinero estaba dispuesto a pagar TAAUSAI por adelantado?
El dinero que TAAUSAI pagaría por adelantado es 150000 dólares. La información se obtuvo del archivo klovespizza@outlook.com.ost.
¿En qué país se encuentra el usuario administrador con el grupo de hackers?
El país donde se encuentra el usuario administrador es Egipto (En inglés Egypt). La información se obtuvo del archivo klovespizza@outlook.com.ost.
Con la herramienta online GPS Coordinates.
La zona horaria de la máquina es UTC. La información se obtuvo del archivo Hive SYSTEM.
Y para su análisis se utilizó la herramienta Fred.
Se accedió por última vez al archivo AlpacaCare.docx 03/17/2019 09:52 PM. La información se obtuvo con la herramienta FTK Imager.
Había una segunda partición en el disco. ¿Cuál es la letra que se le asigna?
La letra asignada a la segunda partición es "A". La información se obtuvo del Hive SYSTEM exportado con la herramienta FTK Imager anteriormente, para analizar el Hive SYSTEM utilizaré la herramienta Fred.
Como se muestra en la imagen hay tres unidades montadas letra A: corresponder a la segunda partición, la letra C: corresponde a la partición principal y la letra D: corresponde a la unidad de CD-ROOM.
¿Cuál es la respuesta a la pregunta que el gerente de la empresa le hizo a Karen?
La respuesta de Karen es TheCardCriesNoMore. La información se obtuvo del archivo klovespizza@outlook.com.ost.
¿Cuál es el puesto de trabajo que se le ofrece a Karen? (3 palabras, 2 espacios en medio)
El puesto de trabajo que ofrecen a Karen es de cyber security analyst. La información se obtuvo del archivo klovespizza@outlook.com.ost.
¿Cuándo se cambió por última vez la contraseña del usuario administrador?
La última vez que se cambió la contraseña del usuario administrador fue 03/21/2019 19:13:09. La información se obtuvo del archivo Hive SAM y lo analice con la herramienta Fred.
¿Qué versión de Chrome está instalada en la máquina?
La versión de Chrome instalada en la máquina es 72.0.3626.121. La información se obtuvo del archivo Hive SOFTWARE y lo analizamos con la herramienta Fred.
Esta pregunta está orientada a la URL de descarga del programa Skype. Para obtener la información se exportó el archivo History con la herramienta FTK Imager y se analizó con la herramienta DB Browser for SQLIte.
¿Cuál es el nombre de dominio del sitio web que Karen navegó en Alpaca care en el que se basa el archivo AlpacaCare.docx?
El nombre de dominio es palominoalpacafarm.com. La información se obtuvo del archivo AlpacaCare.docx.
Happy Hack!!!
Comentarios
Publicar un comentario