ETAPA 2 – APLICACIÓN DE TECNOLOGÍAS PARA LA RECOLECCIÓN DE

INFORMACIÓN

EDWIN ANDRÉS JIMÉNEZ GARCÍA

FLOR ESPERANZA BECERRA

YESENIA ALEXANDRA PERALTA

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática

Informática Forense

Bogotá, 27 de marzo de 2020

 CONTENIDO

INTRODUCCION ..............................................................................................................................................3
CONSOLIDADO TRABAJOS INDIVIDUALES ....................................................................................4
Edwin Jiménez: ...............................................................................................................................................4
Flor Becerra: ................................................................................................................................................. 16
Yesenia Peralta:........................................................................................................................................... 29
RASTREO DE LA EJECUCIÓN DEL ARCHIVO USADO ................................................................42
PROPUESTAS ANTE ESTE INCIDENTE DE SEGURIDAD ..........................................................44
DESCRIBIR INCIDENTE ............................................................................................................................44
CONCLUSIONES ............................................................................................................................................45
BIBLIOGRAFIA ..............................................................................................................................................46
 INTRODUCCION

En proceso de desarrollo de la actividad planteada para la etapa 2 del curso

informática forense, se abordara el uso de diferentes herramientas orientas a
virtualizar sistemas operativos, generar copias de seguridad de la imagen del
sistema operativo a evaluar y herramientas de extracción de datos no volátiles
con software especializado como Autopsy.

El desarrollo de esta actividad nos presenta retos interesantes como profesionales

y nos muestra un campo laboral con gran auge en Colombia.
 CONSOLIDADO TRABAJOS INDIVIDUALES

Realiza la consolidación de los trabajos desarrollados de forma individual:

Edwin Jiménez:

 Descargar e instalar una máquina virtual (VirtualBox o VMware Player)

 Descargar el sistema operativo Windows 10
 Instalar el sistema operativo Windows 10 dentro de la máquina virtual, se
prefiere que las capacidades sean mínimas de 60 gigas de espacio en disco y
de 2 gigas de ram a 2 procesadores, con tipo de tarjeta de red bridge o tipo
puente.

Ilustración 1. Configuración requerimientos máquina virtual

 El sistema operativo debe tener un usuario con el apellido del estudiante y una
contraseña de la capacidad mínima permitida de la instalación del sistema
operativo 6 con el nombre del estudiante, que no pase de 6 dígitos.
 Ilustración 2. Configuración usuario y contraseña Win10

 Iniciando Windows deben instalar lo siguiente:

o Winrar
o MSOffice versión mínima 2013
o FOXIT
o Mozilla FireFox
o NO INSTALAR ANTIVIRUS

Ilustración 3. Instalación Office 2013

 Ilustración 4. Instalación Foxit y WinRar

 Descargar el KMSpico cualquier versión desde la 10.0, tener cuidado, e

instalarlo dentro del Windows.

Ilustración 5. Instalación KMSpico

 Debe descargar 10 archivos dentro de mis documentos y abrirlos, estos

archivos son: 2 excel, 4 docs, 2 txt y 2 pdf, de los cuáles deben borrar 3 de los
documentos.

Ilustración 6. Creación de documentos

 Ilustración 7. Documentos Eliminados

 Asignar una IP estática con el número del portátil del gerente.

Ilustración 8. Asignación de IP estática al gerente

 Deben navegar en Firefox y en Edge o internet explorer de mínimo 10 páginas

web e ingresar a una cuenta de correo y enviar 2 correos.

Ilustración 9. Envió correo de prueba

 Ilustración 10. Bandeja de entrada con correos de prueba

 Realizar una captura mediante el FTKimager del disco duro completo de la

máquina virtual, esto crea una imagen bit a bit, este debe estar instalado en la
máquina virtual.

Ilustración 11. Resultado de copia imagen FTKimager

Como selección personal para la revisión de la imagen virtual usare la

herramienta Autopsy, en la imagen a continuación de describen los ítems a
extraer.

Ilustración 12. Selección de configuración Autopsy

 Ilustración 13. Resultado nuevo proyecto creado.

 Extraer la información no-volátil que consiste en los siguientes items:

o Examining File Systems

Ilustración 14. Extraer File Systems 1

Ilustración 15. Extraer File Systems 2

o Registry Settings
 ClearPageFileAtShutdown:

Ilustración 16. Revisión registro ClearPageFileAtShutdown

 DisableLastAccess:

Ilustración 17. Revisión registro DisableLastAccess

o Eventos

Ilustración 18. Eventos del sistema

o Index.dat File

Ilustración 19. Autopsy archivo Index.dat

Ilustración 20. Contenido archivo Index.dat

o Connected Devices

Ilustración 21. Dispositivos físicos y lógicos conectados 1

Ilustración 22. Dispositivos físicos y lógicos conectados 2

o Slack Space
o Herramienta: DriveSpy
o Swap File

Ilustración 23. Autopsy pagefile.sys

Ilustración 24. Autopsy contenido pagefile.sys

 Ilustración 25. Registró de memoria

o Windows Search Index

Ilustración 26. Search index

o Hidden Partitions

Ilustración 27. Listado de particiones

o Hidden ADS
o Navegación correo

Ilustración 28. Revisión navegación correo

 Extraer la lista de todos los documentos docs y derivados, PDFs y txt
incluyendo los eliminados.

Ilustración 29. Listado de archivos eliminados

Flor Becerra:

 Instalación y configuración de máquina Virtual con Windows 10.

Ilustración 30. Se realizó instalación de máquina virtual con Windows 10

Se creo cuenta de usuario según lo socilitado con los apellidos, como se
observa en el siguiente pantallazo, se le asigno clave y se asigno perfil de
Administrador

Ilustración 31. Usuario Pruebas

Para terminar el proceso de preparación se realizo configuracion del adaptador

de Red para asegurar que desde la maquina virtual se puede navegar hacia
internet, para esto previamente en la configuración de la maquina virtual en la
sección de red se configuro el Adaptador 1 como Adaptador Puente y se
selecciono Intel(R) dual Band Wireless-AC 8265

Ilustración 32. Configuración adaptador de red

 Ilustración 33. Configuración ip estática gerente

 Para realizar la recoleccion de información Previamente se realizo la

instalación de la herramienta FTK Imager, para esto se utilizo la versión
4.2.1.4 como se observa en la siguente imagen

Ilustración 34. Versión FTK

Para realizar la recolección de información se ingresa al menu File ubicado en la
parte superior Izquierda y de est menu se selecciona Crear DISK Image. Como
se observa en la siguiente imagen

Ilustración 35. Creación de imagen

Como se esta trabajando con una maquina virtual se selecciona la opcion de

Logical Drive y se seleciona la unidad C:\ NTFS.

Ilustración 36. Configuración de imagen

Como destino se selecciona La unidad F:\ que corresponde a un segundo disco
virtual y se le asigna el nobre de Inf_Forense al archivo Destino de la copia. Al
dar click en Start se inicia el proceso de copia que tardo 10 minutos
aproximadamente.

Ilustración 37. Proceso de copiado

Como resultado se obtiene en el disco F:\ un conjunto de 43 archivos

nombrados de forma consecutiva como se observa en la siguiente imagen

Ilustración 38. Imagen múltiples archivos

Se identificaron dos formas de obtener la información solicitada en la guía la
fase 2, La primera es a través de comandos DOS directamente sobre el equipo
y las segunda es haciendo uso de la Herramienta Autopsy que es utilizada para
hacer lectura de la imagen generada en el paso anterior.
Una vez instalado se debe proceder creando un caso y adjuntando a este caso
los archivos que corresponde a la imagen tomada del disco

Ilustración 39. Creación de caso en Autopsia

Ilustración 40. Adquisición de imagen

Identificación por línea de comando: Con la instrucción systeminfo desde línea de
comandos se obtiene la siguiente información de cómo está configurada la
máquina.

Ilustración 41. Información línea de comandos

Se destaca en este caso que el sistema operativo es Windows 10 Pro, con

fecha de instalación de 4 de marzo de 2020, sobre Virtual Box, está
configurada en español.
 Ilustración 42. Información obtenida

Al revisar los archivos del sistema se confirma de nuevo la fecha de instalación

del sistema Operativo: 04/03/2020 de 08:28 pm a 9:37 pm como se observa
en el siguiente gráfico:

Ilustración 43. Fsutil behavior

Tareas programadas: Mediante el uso dela instrucción schtasks se pueden

observar las tareas programadas que se encuentran en el equipo, en este caso
encontramos básicamente actualizaciones de sistema operativo, office

Ilustración 44. Schtasks 1

 Ilustración 45. schtasks 2

Historial de navegación: Esta información se puede exportar a Excel , y en

esta caso se adjuntó el archivo al resultado final.

Ilustración 46. Historial de navegacion

Para cada sitio visitado se obtiene la siguiente información

Ilustración 47. Informacion sitio

Ilustración 48. metadata obtenida

Archivos eliminados: La herramienta cuenta con la opción de explorar registros

de la papelera de reciclaje en la sección identificada como $Recycle.Bin

Ilustración 49. ubicacion archivos eliminados

Al seleccionar la carpeta especifica se obtiene el detalle de los archivos
eliminados como: Nombre, fecha de modificación, acceso, ubicación, extensión
del archivo, entre otro.
Tambien cuenta con la opcion de recuperarlos, endando click derecho sobre el
archivo en la opcion de Extract files

Ilustración 50. Archivos eliminados

Para cada perfil de usuario se cuenta con la información respectiva, y ya que

para el presente laboratorio se creó un usuario como BecerraArias
Se identifica en el menú Izquierdo toda una sección de su contenido así:

Ilustración 51. Información usuario

En la carpeta Documentos laboratorio se obtiene la información de los
documentos utilizados para el laboratorio como se observa en la siguiente
imagen:

Ilustración 52. Revisión de documentos

Al desplegar el menú del lado izquierdo y ubicarse sobre uno de archivos

Ilustración 53. Contenidos del archivo

Particiones Ocultas: Con el comando diskpart desde línea de comandos se
abre una nueva ventana donde se puede explorar la información relacionada
con la configuración de discos, particiones, volúmenes.

Ilustración 54. Diskpart

En la maquina se identifican dos discos, uno de 60GB y uno 100 GB, al

seleccionar el disco 0 se identifican dos particiones una de 1024kb y otra de
59GB.
En el caso del disco 1 solo se identifica una partición de 100 GB

Ilustración 55. Informacion disk part

AL revisar desde el administrador se observa exactamente la misma información,
la partición 1 del disco 1 aparece como partición primaria reservada para el
sistema

Ilustración 56. Revision en administrador de particiones

Yesenia Peralta:

 Descargar e instalar una máquina virtual (VirtualBox o VMware Player)

 Descargar el sistema operativo Windows 10
 Instalar el sistema operativo Windows 10 dentro de la máquina virtual, se
prefiere que las capacidades sean mínimas de 60 gigas de espacio en disco y
de 2 gigas de ram a 2 procesadores, con tipo de tarjeta de red bridge o tipo
puente.

Ilustración 57. Creacion maquina virtual

Ilustración 58. Configuracion maquina virtual

El sistema operativo debe tener un usuario con el apellido del estudiante y una
contraseña de la capacidad mínima permitida de la instalación del sistema operativo 6
con el nombre del estudiante, que no pase de 6 dígitos.

Ilustración 59. Ingreso a cuenta

Ilustración 60. Home cuenta

Ya iniciado el Windows deben instalar al Windows 10 lo siguiente:
 winrar
 msoffice versión mínima 2013
 foxit
 mozilla firefox
 no instalar antivirus

Ilustración 61. Listado programs instalados

El KMSpico Es el activador que se utiliza para activar productos de Microsoft,

como Windows y Office. Es un activador total libre de virus y malware y muchas
personas confían en él.
Ya que yo cree la máquina virtual en el portal de Azure no necesito de esta
herramienta.

Ilustración 62. Configuracion cuenta

 Ilustración 63. Cuenta enlazada

Debe descargar 10 archivos dentro de mis documentos y abrirlos, estos archivos

son: 2 excel, 4 docs, 2 txt y 2 pdf, de los cuáles deben borrar 3 de los
documentos.

Ilustración 64. Lista de archivos

 Ilustración 65. Archivos despues de eliminar 3

Asignar una IP estática con el número del portátil del gerente.

Ilustración 66. Asignacion IP gerente

Deben navegar en Firefox y en Edge o internet explorer de mínimo 10 páginas
web e ingresar a una cuenta de correo y enviar 2 correos.

Ilustración 67. Envio de correos

Al tener instalada la máquina virtual y haber realizado los diferentes pasos,

realizar las siguientes actividades:

Realizar una captura mediante el FTKimager del disco duro completo de la máquina
virtual, esto crea una imagen bit a bit, este debe estar instalado en la máquina virtual.

Ilustración 68. Creacion imagen con FTK

Para la revisión de la imagen virtual se usa la herramienta Autopsy.

Ilustración 69. Creacion proyecto

Ilustración 70. Proyecto creado

Extraer la información no-volátil que consiste en los siguientes items:
 Examining File Systems

Ilustración 71. File Systems

 Registry Settings
o ClearPageFileAtShutdown:

Ilustración 72. ClearPageFileAtShutdown

o DisableLastAccess:

Ilustración 73. DisableLastAccess

 Event

Ilustración 74. registro de eventos windows

 Index.dat File

Ilustración 75. Index.dat

Ilustración 76. Index.dat autopsy

 Connected Devices

Ilustración 77. Dispositivos conectados

 Swap File

Ilustración 78. Swap File

 Ilustración 79. Registro windows

 Windows Search Index

Ilustración 80. Search Index

  Hidden Partitions

Ilustración 81. particiones ocultas

Extraer la lista de todos los documentos docs y derivados, PDFs y txt incluyendo
los eliminados.

Ilustración 82. Documentos eliminados

 RASTREO DE LA EJECUCIÓN DEL ARCHIVO USADO

Demostrar el rastreo de la ejecución del archivo usado según el gerente el cuál se

halló dentro del portátil; ¿dónde se guarda?, ¿cómo se ejecuta? y ¿qué modifica
dentro el sistema operativo de Windows 10?

Después de eliminar KMSPico, los siguientes archivos ejecutables deben ser

completamente eliminados:

 Secoh-qad.exe

Ilustración 83. Aplicaciones instaladas por KMSPico

 AutoPico.exe

Ilustración 84. Aplicaciones instaladas por KMSPico

 unins000.exe

Ilustración 85. Aplicación instalada por KMSPico

 KMSELDI.exe

Ilustración 86. Aplicación instalada por KMSPico

 tap-windows-9.21.0.exe

Ilustración 87. Aplicación instalada por KMSPico

 PROPUESTAS ANTE ESTE INCIDENTE DE SEGURIDAD

 Bloqueo de instalación de archivos por parte de usuarios que no sean

administradores del sistema.
 Bloqueo de uso de USB para se permita ingreso de este tipo de programas.
 Activación de los eventos de Windows con relación a la instalación de
aplicaciones, mediante un plantilla GPO desde el directorio activo.
 Actualización de parches de seguridad de Windows e ingreso de la aplicación
en lista de no deseados dentro del antivirus para su bloqueo en los escaneos
pasivos y activos.
 Administrar los logs de los equipos mediante un ELK o un SIEM que permita
generar alarmas cuando se instalan programas.

DESCRIBIR INCIDENTE

 Por no contar con la actualización de parches de sistema operativo

actualizados se presentó intrusión por hueco de seguridad que permitió que
personas terceras accedieran al equipo del gerente, modificando archivos de
usuario.
 El usuario con el que está iniciando sesión el usuario es administrador del
equipo, lo que le permitió descargar e instalar software que contenía
malware y esto afecto el comportamiento del equipo perdiendo archivos.
 El equipo no recibió mantenimiento preventivo físico oportuno, lo que genero
daño en un sector del disco y como consecuencia de ello se produjo perdida
de archivos.
 Por utilización de Medio USB contaminado con virus se presentó
contaminación del equipo con malware que llevo a la modificación de
archivos
 CONCLUSIONES

 La informática forense nos presenta diferentes retos a nivel profesional,

donde debemos interactuar con diferentes herramientas a nivel de
generación de copias fieles sin corromper las evidencias.
 Mediante la revisión de evidencia en la memoria no volatín se logra
evidencia datos básicos del sistema operativo en custodia, las actividades
realizadas por el usuario, el registro de archivo con lo cual se puede
construir una línea de tiempo con el comportamiento del usuario en el
sistema operativo.
 Es fundamental conocer y manejar las herramientas para generar cada uno
de los procesos propuestos, algunas herramientas en versión comercial
tienen características adicionales que nos permiten recabar una cantidad
mayor de datos.
 BIBLIOGRAFIA

Windows Forensic Investigations Using PowerForensics Tool

Windows Forensic Investigations Using PowerForensics Tool. (2016). 2016
Cybersecurity and Cyberforensics Conference (CCC), Cybersecurity and
Cyberforensics Conference (CCC), 2016, Computational Complexity (CCC), 2013
IEEE Conference On, 41. Páginas 1-7. Recuperado de https://doi-
org.bibliotecavirtual.unad.edu.co/10.1109/CCC.2016.18

Extraction of forensic evidences from windows volatile memory

Extraction of forensic evidences from windows volatile memory. (2017). 2017 2nd
International Conference for Convergence in Technology (I2CT), Convergence in
Technology (I2CT), 2017 2nd International Conference For, 421. Páginas 1-5.
Recuperado de https://doi-
org.bibliotecavirtual.unad.edu.co/10.1109/I2CT.2017.8226164

Windows 10 Forense: Forensic analysis of three social media apps in windows 10.
(2015). 2015 12th International Conference on High-Capacity Optical Networks
and Enabling/Emerging Technologies (HONET), High-Capacity Optical Networks
and Enabling/Emerging Technologies (HONET), 2015 12th International
Conference On, 1. Páginas 1-5. Recuperado de https://doi-
org.bibliotecavirtual.unad.edu.co/10.1109/HONET.2015.7395419