Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 156 vistas

    Digital Forensics Challenge SOLVED

    Cargado por

    Julian Rojas
    El analista descubrió 4 piezas de evidencia que incluían información sobre empleados de la empresa, nombres de usuario y contraseñas de VPN, ubicaciones de oficinas y acusaciones sobre el robo de credenciales de la compañía. La información estaba oculta en archivos ZIP protegidos con contraseña, archivos con extensiones engañosas, y comentarios en líneas de código.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Digital Forensics Challenge SOLVED

    Cargado por

    Julian Rojas
    156 vistas5 páginas
    El analista descubrió 4 piezas de evidencia que incluían información sobre empleados de la empresa, nombres de usuario y contraseñas de VPN, ubicaciones de oficinas y acusaciones sobre el robo de credenciales de la compañía. La información estaba oculta en archivos ZIP protegidos con contraseña, archivos con extensiones engañosas, y comentarios en líneas de código.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El analista descubrió 4 piezas de evidencia que incluían información sobre empleados de la empresa, nombres de usuario y contraseñas de VPN, ubicaciones de oficinas y acusaciones sobre el robo de credenciales de la compañía. La información estaba oculta en archivos ZIP protegidos con contraseña, archivos con extensiones engañosas, y comentarios en líneas de código.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    156 vistas5 páginas

    Digital Forensics Challenge SOLVED

    Cargado por

    Julian Rojas
    El analista descubrió 4 piezas de evidencia que incluían información sobre empleados de la empresa, nombres de usuario y contraseñas de VPN, ubicaciones de oficinas y acusaciones sobre el robo de credenciales de la compañía. La información estaba oculta en archivos ZIP protegidos con contraseña, archivos con extensiones engañosas, y comentarios en líneas de código.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 5

    Resumen del desafío:

    El SOC ha recibido un informe anónimo de que un usuario está potencialmente filtrando


    datos de la empresa. Se ha tomado una imagen del disco duro del usuario, y usted es
    responsable de analizar el contenido de una copia perfecta para encontrar cualquier
    evidencia de actividad maliciosa. Usando sus habilidades recientemente desarrolladas,
    busque a través de las carpetas y archivos usando técnicas para descubrir 4 piezas de
    información oculta (cada pieza de evidencia contará con el texto {1 de 4} o algo
    similar). Mantenga un registro de toda la información que encuentre que pueda ser
    relevante para la investigación y escriba un breve informe sobre lo que cree que está
    sucediendo. El informe debe incluir la siguiente información (plantilla de informe a
    continuación):

     Información oculta que has encontrado


     Métodos utilizados para recuperar información.
     Las ubicaciones / archivos de la información.
     Una conclusión sobre la actividad que ha descubierto.

    Algunos comandos útiles incluyen los siguientes:


    (¡Recuerde que puede ver la página del manual de herramientas usando
    “comando man” para obtener información útil!):

     Strings (nos permite encontrar cadenas de texto ocultas en archivos de


    imagen y audio)
     ls -a (nos permite encontrar archivos ocultos en el directorio actual desde
    la terminal)
     Cat <file> (nos permite encontrar cadenas de texto ocultas en archivos de
    imagen y audio)
     Fcrackzip (nos permite descifrar archivos .zip protegidos con contraseña)
     Steghide (nos permite recuperar archivos ocultos en archivos de imagen
    y audio - http://steghide.sourceforge.net/documentation/manpage.php)
     File <archivo> (nos permite ver cuál es el verdadero tipo de archivo,
    incluso si la extensión se ha cambiado para engañarnos)

    PUNTO DE INICIO: Se le ha informado que el archivo más reciente en el disco duro


    era un correo electrónico y un archivo adjunto en el directorio "Saved Emails". Se
    sugiere que comience allí.
    A continuación hay algunos consejos para su investigación:

     Siempre estén atentos a los archivos ocultos que comienzan con un "." -
    ¡usen "ls -a" en un terminal para ver estos archivos!
     ¡Miren los directorios y archivos tanto en la GUI de Kali Linux como en la
    línea de comandos!
     Este desafío se basa en una narrativa. Se les guiará suavemente para
    encontrar algunas piezas de evidencia. Recuerden buscar en todas las
    carpetas y verificar todos los archivos, ¡especialmente los que parecen
    extraños!
     Si necesitan omitir un .zip protegido con contraseña, usen fcrackzip con la
    lista de palabras rockyou.txt.

    ¡Si se quedan atascados, pregunten a la gente en el chat del grupo en


    Discord! Trabajar juntos es aprender juntos.
    PLANTILLA DE RECOLECCIÓN DE DATOS
    Evidence Piece 1 of 4

    Name of original file containing evidence employeedump


    [10]

    Full file path (right-click > parent folder value /J Harrison Disk Image 10.09.2019/WebDev
    + filename) [5] work/unfinished webpages/to-
    do/employeedump

    File type [5] ASCII text

    Time found (Date - DD/MM/YYYY + Time) Oct 22 17:50


    [5]

    Method (+ commands) used to find file [10] Personal zip cracking techniques

    Explain how the information was hidden Though password protected ZIP
    [10] Pass: ‘vendy13031988’

    What information was included in the file? It’s a list containing all the information of the
    (Don’t copy-paste the file content, explain employees of the company
    exactly what it is) [10]

    Evidence Piece 2 of 4

    Name of original file containing evidence passwords


    [10]

    Full file path (right-click > parent folder value -J Harrison Disk Image
    + filename) [5] 10.09.2019/Images/laptop.jpg
    -J Harrison Disk Image
    10.09.2019/Images/passwords

    File type [5] text

    Time found (Date - DD/MM/YYYY + Time) Feb 27 21:20


    [5]

    Method (+ commands) used to find file [10] Cat, steghide and password key was
    ‘password’

    Explain how the information was hidden There was instructions on the image of the
    [10] folder “saved emails”

    What information was included in the file? Instructions to get acces to the hidden files
    (Don’t copy-paste the file content, explain that contained all the user names and
    exactly what it is) [10] passwords of the VPN’s of the company

    Evidence Piece 3 of 4

    Name of original file containing evidence Posidon.xml


    [10]

    Full file path (right-click > parent folder value /home/drjfrost/Desktop/J Harrison Disk Image
    + filename) [5] 10.09.2019/Weekly Meeting Notes/Week
    10/posidon.xml

    File type [5] Png

    Time found (Date - DD/MM/YYYY + Time) Oct 22 19:19


    [5]

    Method (+ commands) used to find file [10] File, cat

    Explain how the information was hidden Extansion was changed, so that an average
    [10] user would not dudpect about it

    What information was included in the file? The location of the offices of the company
    (Don’t copy-paste the file content, explain
    exactly what it is) [10]

    Evidence Piece 4 of 4

    Name of original file containing evidence bootstrap.min.abc


    [10]

    Full file path (right-click > parent folder value J Harrison Disk Image 10.09.2019/WebDev
    + filename) [5] work/unfinished
    webpages/templatemo_508_power/css/bootst
    rap.min.css

    File type [5] CSS, ASCII text, with very long lines

    Time found (Date - DD/MM/YYYY + Time) Oct 22 18:49


    [5]

    Method (+ commands) used to find file [10] cat

    Explain how the information was hidden It was commented on the lines of the css files
    [10]

    What information was included in the file? The intrusor pretty much admitted that was
    (Don’t copy-paste the file content, explain hiding something on his files and personal pc:
    exactly what it is) [10] * This is in case Colin tries to screw me. I'll
    expose him.
    * Colin Andrews
    * 31 years old
    * lives in Suffolk, UK
    * drives a Kia Sportage
    * buys and sells valid company credentials to
    hackers
    * phishing attacks, malware distribution

    * (still got his email addresses, domains,


    mobile no. and BTC wallet address on my
    personal PC)
    */

    Investigation Report

    Provide a brief conclusion on what The intruder was giving information about the
    information was being stolen, how it was enterprise, its corresponding empoyees,
    hidden, and how the suspect was getting office locations, and VPN accounts.
    it out of the company (Look at how many
    marks this question is worth, to ensure you He used different techniques to be unnoticed,
    write enough) [25] such as steganografy, file extansion change,
    commenting lines on programming files and
    adding information at the footer of the images
    (which can be only read by using the cat
    command).

    Simon was the name of the receptor of the


    information that was being sent, also a
    potential vector of information is a person
    called “Colin Andrews” which seems to be a
    close workmate who also knew about the
    issue.

    También podría gustarte