Laboratorio: Informática Forense - Descripción del escenario
En el pasado Laboratorio de Informática Forense realizado en la ciudad de Medellín, se utilizó el recurso publicado por la gente UNAM en el magnífico reto sobre Informática Forense.
Escenario propuesto:
El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.
El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.
Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.
Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.
Objetivos:
El objetivo del mismo es el análisis de un sistema Windows 2003 previamente atacado y comprometido. Para ello, como única información, se proporciona una imágen (o copia) de dicho sistema.
Permitir determinar los siguientes puntos de interés para el análisis:
- Motivos de la intrusión.
- Desarrollo de la intrusión.
- Resultados del análisis.
- Recomendaciones.
Instalación de un entorno de trabajo en el que, de forma segura y garantizando el no modificar la evidencia, proceder a la ejecución de las herramientas de análisis forense seleccionadas, la mayoría de carácter público y accesibles en la red.
Puntos a cubrir:
- Antecedentes del incidente
- Recolección de los datos
- Descripción de la evidencia
- Entorno del análisis --Descripción de las herramientas--
- Análisis de la evidencia --Información del sistema analizado--
- Características del SO
- Aplicaciones
- Servicios
- Vulnerabilidades
- Metodología
- Descripción de los hallazgos
- Huellas de la intrusión
- Herramientas usadas por el atacante
- Alcance de la intrusión
- El origen del ataque
- Análisis de artefactos
- Cronología de la intrusión
- Conclusiones
- Recomendaciones específicas
- Referencias
La imágen del sistema a analizar puede ser descargada desde los siguientes enlaces (haciendo uso de algún cliente FTP)
ftp://ftp.rediris.es/rediris/cert/reto/3.0/windows2003.img.gz
ftp://escitala.seguridad.unam.mx/reto/windows2003.img.gz
Las firmas md5 de la imagen completa, comprimida y descomprimida, respectivamente, son
- 062cf5d1ccd000e20cf4c006f2f6cce4 - windows2003.img
- 33a42d316c060c185f41bfcacf439747 - windows2003.img.gz