DETALLES Y JUSTIFICACIÓN

Tipo de evidencia

Se detalla que el equipo puesto en custodia tiene las siguientes características:

Marca Modelo: Dell Inspiron 14 serie 3000
Sistema operativo: Windows 7 SP1 x64
Disco Duro: 500GB
Memoria RAM: 4GB
Procesador Intel Core i5

 

Para ingresar al sistema operativo tras encender el computador, se ha usado un usuario administrador proporcionado directamente por la institución. De no ser así, por alguna razón, habria dos caminos a tomar:

  1. Averiguar usuarios y contraseñas con alguna herramienta tipo cracking para acceder al archivo SAM, como l0phtcrack, PWDUMP2, etc.
  2. Cambiar la contraseña del administrador u otro usuario perteneciente al grupo administradores.

Estando en el sistema operativo, se llevan a cabo diferentes acciones. La primera es verificar la zona horaria configurada, así como la hora y fecha del sistema operativo:
https://manualwindows7.files.wordpress.com/2010/11/fecha-y-hora.jpg

fecha-y-hora

 

Software Instalado:

El software instalado corresponde a licencias propias de la institución o software libre (bajo licencia GNU, GPL, etc). Se recalca también el hecho de que hay un software antivirus instalado y actualizado.

http://www.aulaclic.es/windows7/graficos/ventana_progs_y_caracter.gif

ventana_progs_y_caracter

Debido a la cantidad de actualizaciones automáticas instaladas, no se detallarán en este informe. Se verifica que Windows Update esté activo y así es.

 

Dentro de la carpeta de Archivos de Programa (Program Files y Program Files (x86)), las carpetas de instalación concuerdan con el software instalado.

No se encuentra software tipo RAT (Remote Administration Tool) que permita conexiones remotas o que dejen puertas traseras en el sistema operativo.

Dentro de la administración de los usuarios y grupos de Windows, no se resaltan usuarios diferentes a los normales:

http://imag.malavida.com/blog/images/2011/06/id_29808_administrador3.jpg

id_29808_administrador3


El resultado de la ejecución de las herramientas antivirus, fue la detección de una serie de ‘cookies’ consideradas ‘espías’, pero no la aparición de algún fichero realmente dañino.

Análisis de los puertos TCP y UDP abiertos en el sistema. Para ello, puesto que tenemos las herramientas cports y TCPView ya accesibles, las empleamos después de comprobar mediante hash que no han sido alteradas. Herramientas como netstat.

Debido a que no se encuentra información relevante, se resalta el hecho de que el puerto 3389 TCP está abierto.

Al verificar la configuración del sistema operativo respecto a la conexión remota, se encuentra que esta habilitada:

http://www.mundoprogramacion.com/sistema/Vista/escritorio_remoto/escritorio_remoto_02.png

escritorio_remoto_02

Con este hecho encontrado, en el visor de Eventos de Windows, se encuentra que se realizaron conexiones remotas al equipo.

La evidencia fue encontrada en el Visor de Eventos de Windows, en la ruta Registro de Aplicaciones y Servicios / Microsoft / Windows / TerminalServices-LocalSessionManager / Operational

Captura de pantalla 2017-02-15 a las 8.54.15 p.m..png

Los detalles de los logs, considerando también la configuración de zona horaria antes vista y las fechas y horas mencionadas por los colaboradores de la institución dan a entender que no hubo intrusión en sí al equipo. Se realizó una conexión desde un equipo de la misma red en la que el computador comprometido estaba conectado y usaron las credenciales de la usuaria que reportó el incidente.

La evidencia se deja en manos de la institución de manera que ellos en su soberanía tomen decisiones al respecto.

La institución debe revisar si es necesario (y de tenerlas) grabaciones de video cámaras de las instalaciones y los logs del equipo desde el cual se realizó la conexión en la fecha y hora especificada.

El equipo desde el cual se originó la conexión tenía la dirección IP 192.168.0.56. El servidor DHCP de la red, ayudará a identificarlo gracias a los registros del servicio o, de no haber sido liberada aún la dirección IP, encontrando el nombre y la dirección MAC que aparecen en el listado de la consola DHCP.

Anuncios
DETALLES Y JUSTIFICACIÓN

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s