Add to collection(s) Add to saved
  1. No category
Uploaded by xavier.aterranova

Laboratorio 11 - Informe de Analisis Forense- Grupo1

advertisement 
Documento Nº: CYS-FOR-14
Versión : 01
1 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
INFORME ANÁLISIS FORENSE Caso M57.biz
Preparado para: Laboratorio 11-Telemática Forense-PUCP
Fecha: 24 de Junio del 2023
El presente documento contiene información estrictamente privada y confidencial
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
2 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
ÍNDICE
ÍNDICE---------------------------------------------------------------------------------------------------------------------------------- 2
RESUMEN ------------------------------------------------------------------------------------------------------------------------------ 3
OBJETIVO ------------------------------------------------------------------------------------------------------------------------------ 4
ALCANCE ------------------------------------------------------------------------------------------------------------------------------- 4
PROCESO DE IDENTIFICACIÓN Y PRESERVACIÓN --------------------------------------------------------------------------------- 5
PROCESO DE BÚSQUEDA Y ANÁLISIS DE LA EVIDENCIA ------------------------------------------------------------------------- 7
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
3 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
RESUMEN
El caso a disposición se compone de un problema asociado a la ciberseguridad en una empresa
virtual emergente llamada M57.biz que desarrolla catálogos de arte corporal en la cuál se
originó una exfiltración de un documento confidencial para esta. El contenido de dicho
documento fue publicado como archivo adjunto en el foro “soporte técnico” del sitio web de
una empresa competidora este brindaba información útil para la competencia porque
adjuntaba nombres y salarios de personal que estaba actualmente laborando en la empresa.
La información brindada por nuestro cliente, uno de los primeros fundadores de M57.biz,
contiene información de suma importancia para la investigación. En principio se sabe que un
único empleado tenía acceso a dicho documento llamado Jean, Director Financiero, pero él se
negó a tener responsabilidad en la exfiltración y mencionó a la Presidenta, Alison, que
supuestamente le pidió que preparara la hoja de cálculo como parte de la nueva ronda de
financiación y posteriormente le enviara la hoja de cálculo mediante correo electrónico. Sin
embargo, ella negó dicha versión aduciendo que no sabía de lo acontecido antes mencionado.
Para esta investigación se analizará una copia del disco duro del ordenador de Jean brindada
por el cliente por ende los resultados tendrán su base en este.
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
4 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
OBJETIVO
El presente informe técnico tiene como objetivo investigar y determinar las circunstancias en
torno a la exfiltración del documento confidencial anteriormente mencionado. Se busca
responder a las siguientes preguntas clave:
 ¿Cuándo fue creada esta hoja de cálculo?
 ¿Cómo fue transferida del ordenador de Jean al sitio web de la competencia?
 ¿Existen otros empleados de la empresa implicados en este incidente?
ALCANCE
El alcance de la investigación se limita a analizar una copia del disco duro del ordenador
perteneciente a Jean, trabajador de la empresa que desarrollaba la función de Director
Financiero, así como examinar la copia de la hoja de cálculo en cuestión. Se buscarán
evidencias digitales, registros de actividad inusual o incriminatoria y cualquier otro dato
relevante para determinar el origen y la secuencia de eventos relacionados con la divulgación
de la información confidencial.
Artefactos, software o evidencia analizados y utilizados:
 Una copia del disco duro del ordenador de Jean
 Una copia de la hoja de cálculo
 Autopsy
 Correos electrónicos con contraseñas de Jean y Alison
 SleuthKit
 Resúmenes de entrevistas a los involucrados.
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
5 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
PROCESO DE IDENTIFICACIÓN Y PRESERVACIÓN
Adquisición de material a evaluación: Como parte de la investigación en curso sobre la exfiltración de
una hoja de cálculo con información confidencial de la empresa M57.biz, se llevó a cabo un proceso de
adquisición de material relevante para su posterior evaluación forense. El objetivo de esta etapa fue
recopilar y asegurar todas las pruebas digitales necesarias para determinar las circunstancias del cometido
y sus posibles responsables.
El material adquirido incluyó:
Copia del Disco Duro de Jean:
Se obtuvo una copia forense del disco duro perteneciente al ordenador de Jean, el empleado que tenía
acceso a la hoja de cálculo confidencial. Esta copia forense se realizó siguiendo las mejores prácticas y
preservando la integridad de los datos. El objetivo principal de examinar el disco duro es identificar
cualquier evidencia digital relacionada con la creación, modificación o transferencia de la hoja de cálculo
en cuestión.
Copia de la Hoja de Cálculo Divulgada:
Se obtuvo una copia de la hoja de cálculo que fue publicada como archivo adjunto en el foro de "soporte
técnico" del sitio web de la competencia. Esta copia se aseguró y verificó su integridad para permitir un
análisis exhaustivo. La hoja de cálculo proporciona una valiosa fuente de información para determinar su
origen, contenido y cualquier dato incrustado que pueda ayudar a rastrear su distribución.
Ambos elementos, el disco duro de Jean y la hoja de cálculo exfiltrada, se consideran elementos clave en
esta investigación. El análisis forense de estos materiales permitirá identificar los eventos relacionados
con la creación de la hoja de cálculo, su transferencia al sitio web de la competencia y, potencialmente,
revelar la participación de otros empleados de la empresa en este incidente.
Es importante destacar que la adquisición de este material se llevó a cabo siguiendo los procedimientos
forenses adecuados y respetando la cadena de custodia. Esto garantiza la integridad y la admisibilidad de
las pruebas digitales recopiladas, lo que será fundamental para respaldar las conclusiones y los hallazgos
de esta investigación.
Imagen 1: Archivos brindados para analizar.
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
6 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
También se genera automáticamente su firma HASH como elemento de seguridad digital:
Imagen 2: Validación de HASH generado por algoritmo SHA256.
Imagen 3: especificaciones técnicas que tiene la imagen forense tipo encase para este escenario de la empresa M57 dotbiz
a través del software Autopsy.
Imagen 4: Verificación e información de volumen 2 del disco.
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
7 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
PROCESO DE BÚSQUEDA Y ANÁLISIS DE LA EVIDENCIA
Proceso de Indexación:
En el proceso de indexación (extracción de la imagen forense) se ha usado procedimientos secuenciales y
metódicos para garantizar el aseguramiento de la información contenida en la imagen forense, y para el
procesamiento se ha utilizado el software de análisis forense Autopsy V.4.20.0, que se ha configurado con el
nivel más completo e intuitivo de decodificación, es decir, incluye la posibilidad de realizar recuperación de data
eliminada, lectura de información resaltante organizada por extensión, Data Artifacts y análisis de archivos o
acciones sospechosos.
Al momento de agregar el archivo de imagen forense, se ha evidenciado que la unidad de almacenamiento
cuenta con particiones:
Imagen 5: Análisis de particiones.
.
Imagen 6: Identificación de división de disco.
CONFIDENCIAL
Documento Nº: CYS-FOR-14
Versión : 01
8 de
Grupo 1
Informe
ANÁLISIS DE ANÁLISIS FORENSE
Análisis:
Antes de comenzar con el análisis digital de los recursos de disco y documento exfiltrado primero se debe
analizar las versiones
CONFIDENCIAL
Related documents
a
a
Download
advertisement