Scribd
Cargar
300 vistas40 páginas

Seguridad Forense

El documento resume la investigación forense realizada al equipo de un empleado sospechoso de filtrar información confidencial de su empresa. La investigación encontró evidencia de que el empleado descargó herramientas para eliminar datos, buscó técnicas anti-forenses y formas de filtrar datos. También se encontraron archivos recuperados relacionados con un "Proyecto Secreto" de la empresa y registros de acceso a unidades externas, lo que sugiere que el empleado filtró información de la empresa.

Cargado por

Juana londoño
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
300 vistas40 páginas

Seguridad Forense

El documento resume la investigación forense realizada al equipo de un empleado sospechoso de filtrar información confidencial de su empresa. La investigación encontró evidencia de que el empleado descargó herramientas para eliminar datos, buscó técnicas anti-forenses y formas de filtrar datos. También se encontraron archivos recuperados relacionados con un "Proyecto Secreto" de la empresa y registros de acceso a unidades externas, lo que sugiere que el empleado filtró información de la empresa.

Cargado por

Juana londoño
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 40

Seguridad Forense

Integrantes

Kelly Johana Álzate

Juana Valentina Vergara

Instructor

Juan Pablo Berrio

ingeniería En telecomunicaciones

Politécnico Grancolombiano

2020
Introducción
Este trabajo tiene como fin exponer todas las pruebas en contra del sujeto que es objeto de
investigación por filtrar información de su empresa; Por medio de FTK Imager se exporto
la imagen del equipo del sujeto en mención y desde allí se empezó analizar el sistema
operativo, las carpetas del equipo, y los historiales de navegación, adicionalmente
recuperamos algunos archivos bastante incriminatorios que habían sido eliminados.
Información del sistema
En la Siguiente imagen se identifica que el equipo del sospechoso tiene como sistema
operativo Windows 7 y el login es Informant

Carpetas
Iniciamos con la carpeta de descargas, Como se evidencia en la imagen el usuario descargo
las aplicaciones iCloud que es el sistema de almacenamiento de Apple, y Google Drive
que es el sistema de almacenamiento de archivos en la nube.

Descargas:
Escritorio:
El usuario intento eliminar la aplicación Google Drive, por este motivo sale con la equis
roja; Resignation Letter es un documento de Word, podríamos interpretar que era una carta
de renuncia

Las demás carpetas aparentemente se encuentran vacías.


Procedemos a realizar una búsqueda avanzada en el visor de eventos del equipo incautado.
Security:
En las siguientes imágenes se observa que el usuario ingreso al equipo en horas de la
mañana y cambio de usuario en un corto tiempo
En la siguiente imagen se identifica el momento en el cual el usuario creo el usuario
Informant
A continuación, se puede observar que el usuario intento anular un registro; De este
proceso se puede deducir que el usuario quería ocultar las acciones que estaba realizando en
el equipo de computo que la empresa le ofreció para realizar sus actividades laborales

Nota: Se evidencian muchos eventos donde se asignan privilegios especiales a diferentes


inicios de sesión.
Application:
Se observa la instalación de la aplicación Google Drive, iCloud y de Bonjour la cual es una
tecnología basada en conexiones de red, desarrollada por Apple, es muy útil ya que facilita
la configuración y el uso de dispositivos y servicios dentro de una red.
Se observa en los eventos que se instaló una aplicación llamada Eraser, este es un software
de seguridad avanzado que te permite completar y eliminar datos sensibles del disco duro
fácilmente. Utiliza varias técnicas de redundancia (como múltiples sobre-escrituras en las
placas de datos, el control de las áreas de caché y técnicas de codificación de datos) que
aseguran la eliminación un 100% de manera que incluso evitará el éxito de los métodos de
recuperación de datos más sofisticados.
Análisis de historial de navegación de internet explore
En las siguientes imágenes se evidencia que el sujeto realizaba búsquedas relacionadas con
la investigación forense, esto es una evidencia de que el usuario tenia conocimiento de que
podía ser descubierto y quería eliminar sus huellas.
El usuario también hizo búsquedas relacionadas de como grabar un CD, de esta acción se
podría deducir que el usuario quería filtrar información por este medio.

Se realizaron búsquedas del Software Eraser que como mencionamos anteriormente es un


software de seguridad avanzado que te permite completar y eliminar datos sensibles de tu
disco duro fácilmente.

Se realizo una descarga de un Software llamado Cclener que es una aplicación de código
cerrado, que tiene como propósito mejorar el rendimiento de cualquier equipo que
ejecute Microsoft Windows mediante la eliminación de los archivos innecesarios y las
entradas inválidas del registro de Windows, con lo cual se recupera espacio desperdiciado
en el disco y los accesos al registro se vuelven mucho más rápidos. También puede
desinstalar programas desde su interfaz e inhabilitar la ejecución de aplicaciones en el
inicio del sistema, para mejorar la velocidad de arranque y reducir la carga del sistema.
Se evidencia que el usuario investigo sobre SysInfotools, tiene como función proporcionar
la mejor recuperación de datos y soluciones de gestión de correo electrónico para una
persona o una organización

También realizo búsqueda de Piriform, es una empresa privada de software, desarrolla


software de limpieza y optimización para los sistemas Microsoft Windows y Mac OS X,
además de dispositivos Android.

Se realizaron búsquedas de InfoSecInstitute la cual es una empresa


de capacitación tecnológica, proporciona cursos de capacitación basados en certificación
para profesionales de seguridad y capacitación sobre phishing y conocimiento de seguridad
de nivel empresarial para empresas, agencias y profesionales de la tecnología.
El usuario también realizo búsquedas de gstatic, este es un programa adware que puede
mostrar publicidad intrusiva cada vez que el usuario abre Google Chrome, Internet
Explorer, Safari, Mozilla Firefox u otro navegador.

Se realizaron búsquedas de Akamaihd, es un proveedor de almacenamiento de contenido y


muchas empresas de alto perfil como Facebook o Steam usan este servicio para almacenar
parte de su contenido con el fin de reducir la carga de sus servidores.

Investigo sobre CloudFront, este es un servicio rápido de entrega de contenido (CDN) que
distribuye a clientes globalmente datos, vídeos, aplicaciones y API de forma segura, con
baja latencia, altas velocidades de transferencia y dentro de un entorno fácil para
desarrolladores.

También realizo una búsqueda de Moatads, es conocido por el nombre de Z.Moatads.com,


el cual está asociado con la marca de virus pegajosos de ordenador denominados «hackers
de navegador». Estos virus se infiltran en los ordenadores de los usuarios silenciosamente y
comienzan a cambiar las configuraciones de los navegadores sin el permiso ni el
conocimiento del usuario.
También Realizo búsquedas de ScorecardResearch, realiza investigaciones recopilando
datos de navegación en sitios de Internet.

Análisis de Navegador Google Chrome


Nuevamente se evidencia búsquedas de Digital_Forensics
En la siguiente imagen se evidencia que hizo búsquedas de Anti-forensic, de esto se
deduce que el usuario tenia conocimiento de que podía ser descubierto y quería evitarlo
Realizo búsquedas en un sitio web oficial del gobierno de los Estados Unidos

También hizo búsquedas relacionadas con el FBI


Realizo consulta sobre de fuga de datos

También Hizo búsquedas relacionadas con el mejor almacenamiento en la nube


Hasta este punto se evidencia que el usuario estaba bastante interesado en la seguridad de la
información y se evidencia la siguiente búsqueda
También realizo búsquedas relacionadas con fuga de información
Shellbasg
Es donde el sistema operativo almacena información relacionada con las preferencias de
visualización de contenidos en Windows Explorer; Se observa que la mayoría de los
eventos son referentes a una carpeta llamada “Secret Project Data”, se analizan ingresos a
una carpeta en red, también unidades USB, discos duros externos y CD/DVD.
Archivos abiertos recientemente
Se observan los archivos que el usuario abrió recientemente, acá se evidencian archivos de
Excel, Word, presentaciones en PowerPoint, y Accesos Directos ligados al documento de
investigación Secret Project
Archivos recuperados
Dentro de los archivos recuperados identificamos varios archivos de nombre, “Secret
Project” en Word encontramos, Revisión técnica, propuesta, Propuesta detallada, entre
otros; En Excel encontramos, Análisis de precios, y análisis de mercado; En los archivos
PDF encontramos guías de Eraser y de cómo filtrar información; En los archivos de
PowerPoint encontramos presentaciones con nombres de puntos revisados y revisión
técnica.
Autopsy
Dentro de la aplicación autopsy encontramos más información que nos corrobora que el
hombre en cuestión cometió un delito de fuga de seguridad y quería hacer todo lo posible
por evitar ser descubierto.
Evidenciamos búsquedas de navegación como:
 Métodos de Fuga de datos
 Como filtrar información confidencial
 Casos de fuga de información
 Intercambio de archivos
 Herramientas anti forenses
 Dispositivos externos forenses
 DRM: es una herramienta de cifrado de información dedicada.
 DLP: Prevención de pérdidas de datos integral
 Investigación por correo electrónico
 Investigación forense por correo electronico
 Artefactos del sistema de Windows
 Investigación en sistema operativo Windows
 Registro de eventos de Windows
 Método de grabación de CD
Descargas
 Icloud
 Google Drive
 Internet explore
 Eraser
 Cclener
 RJEMT 64.exe: Project (Nintendo)

Cookies:
Aquí encontramos paginas de organizaciones a donde el usuario ingreso:
Imágenes:
En las imágenes descubrimos algo turbio, aparentemente los archivos jpg son unas simples
imágenes, pero analizando en Autopsy notamos que estas imágenes se encuentran dentro de
los archivos sospechosos, y fueron compartidos a una unidad D: aparte de estos notamos
que el usuario las elimino, de esto deducimos que detrás de estas imágenes hay alguna
información importante.
También encontramos dos imágenes bastantes dicientes
Archivos recientes:
En los archivos recientes evidenciamos que el sospechoso ingreso a una unidad D: que
aparentemente era un CD donde guardo varios de los archivos jpg ya mencionados, se
puede deducir que dentro de estos archivos pueden haber presentaciones o videos; También
ingreso a unidad E: que por la ruta que tiene se interpreta que es una USB y allí guardaba
archivos de Word y presentaciones de Power Point, y por ultimo se evidencia que ingresaba
a una unidad de red y de allí posiblemente exportaba información de importancia
Miniaturas del sistema operativo:
se utiliza un caché de miniaturas para almacenar imágenes en miniatura para la vista en
miniatura de Windows Explorer . Esto acelera la visualización de imágenes ya que estas
imágenes más pequeñas no necesitan ser recalculadas cada vez que el usuario ve la carpeta.
Los archivos se guardan en la carpeta
C:\Users\informant\AppData\Local\Microsoft\windows\explorer
UsnJournal
Es un archivo que contiene el historial de operaciones sobre los archivos de Windows, es
decir, este archivo almacena información como copia, pega, eliminación, modificación,
renombre de archivos sobre un sistema operativo Windows.
Para abrir este archivo descargamos la aplicación OSforensics
Cargamos el archivo $UsnJrnl de la imagen investigada
Entre la búsqueda hay registros como:
 Crear
 Ampliar
 Sobre escribir
 Renombrar (Nuevo nombre) (Viejo Nombre)
 Cambio de atributo
 Cerrar
Índice de búsqueda de Windows
La indexación en es un proceso que permite la búsqueda de archivos y datos dentro de
equipo con sistema operativo Windows pudiendo incluso establecer filtros para poder
encontrar los archivos por naturaleza. ... Por defecto se indexarán las propiedades de
archivos, nombres, rutas y contenido en texto para los documentos
Para buscar el índice de la imagen del sospechoso vamos a utilizar el mismo Software
OSForensics
Seleccionamos la ruta y realizamos la búsqueda
Y como resultado final Obtenemos lo siguiente
Conclusiones
Ante todas las pruebas presentadas en este documento se considera que el sujeto en
cuestión es culpable ya que accedió e intercepto de forma ilícita los sistemas con el fin de
filtrar información confidencial de la empresa a la cual pertenecía, queriendo distribuir
todos estos datos para beneficio propio y de terceros.

También podría gustarte