El reto

El reto

Los siguientes elementos han sido obtenidos respecto a actividad sospechosa en el sistema para las fechas indicadas por el cliente. Estos fueron obtenidos por especialistas de tu equipo. Construye una línea de tiempo, elimina o incluye la información que creas adecuada, usa estos datos para la construcción del reporte ejecutivo.

Los siguientes eventos fueron identificados mediante el análisis de la imagen digital forense. Los siguientes eventos se encuentran relacionados con marcas de tiempo en formato UTC-5 (Colombia) a menos de que se indique lo contrario.

Mayo 2 de 2018:

Artefacto forense: Microsoft-Windows-Windows Defender

No se registran eventos de detección de malware en el sistema reportados por Windows Defender para mayo de 2018.

Mayo 3 de 2018:

Artefacto forense: Microsoft-Windows-User Profile Service/Operational

El usuario monopoliadm inicia sesión en el sistema el 3 de mayo de 2018 a las 9:26:06 a.m.

Log Name:      Microsoft-Windows-User Profile Service/Operational

Source:        Microsoft-Windows-User Profiles Service

Date:          5/3/2018 9:26:06 AM

Event ID:      2

Task Category: None

Level:         Information

Keywords:      

Computer:      CONTADOR

Description:

Finished processing user logon notification on session 1.

De acuerdo al registro de elementos en AppCompatCache, el 3 de mayo a las 03:20:33 p.m., se ejecutó el archivo “Factura electrónica Generada Numero12345 Mayo 05.exe”, extraído de un archivo comprimido RAR. Esto se desarrolla durante la sesión del usuario monopoliadm en el sistema.

C:\Users\ monopoliadm\AppData\Local\Temp\Rar$EXa0.920\Factura electronica Generada Numero8100292018 Mayo 05.exe  Thu May  3 20:20:33 2018 Z  Executed

Inmediatamente se crea el archivo Ccleaners.exe en la ruta Music de la carpeta del usuario monopoliadm:

C:\Users\ monopoliadm\Music\Ccleaners.exe  Thu May  3 20:20:33 2018 Z  Executed

Mayo 4 de 2018:

Artefacto forense: Microsoft-Windows-User Profile Service/Operational

El usuario monopoliadm finaliza la sesión 1 en el sistema el 4 de mayo de 2018 a las 11:21:36 a.m.

Log Name:      Microsoft-Windows-User Profile Service/Operational

Source:        Microsoft-Windows-User Profiles Service

Date:          5/4/2018 11:21:36 AM

Event ID:      4

Task Category: None

Level:         Information

Keywords:      

Computer:      CONTADOR

Description:

Finished processing user logoff notification on session 1.

 Mayo 9 de 2018:

 Artefacto forense: SYSTEM Hive 

ControlSet001\Control\Session Manager\AppCompatCache

LastWrite Time: Tue May 29 17:27:19 2018 Z

De acuerdo al registro de elementos en AppCompatCache, el 9 de mayo a las 12:14:02 p.m., se ejecutó el archivo “Programfile” desde la carpeta del usuario monopoliadm.

C:\Users\ monopoliadm\AppData\Roaming\Microsoft\Windows\Recent\Programfile.exe  Wed May  9 17:14:02 2018 Z  Executed

Mayo 10 de 2018:

Artefacto forense: SYSTEM Hive 

ControlSet001\Control\Session Manager\AppCompatCache

LastWrite Time: Tue May 29 17:27:19 2018 Z

De acuerdo al registro de elementos en AppCompatCache, el 10 de mayo a las 10:08:47 a.m., se creó el documento “Hoja de vida Simon Bolivar.doc” desde la carpeta del usuario monopoliadm.

            C:\Users\ monopoliadm \Documents\Hoja de vida Simon Bolivar.doc  Thu May 10 15:08:47 2018 Z 

Mayo 21 de 2018:

Artefacto forense: SYSTEM Hive 

ControlSet001\Control\Session Manager\AppCompatCache

LastWrite Time: Tue May 29 17:27:19 2018 Z

De acuerdo al registro de elementos en AppCompatCache, el 21 de mayo a las 10:10:33 a.m., se ejecutó el archivo “Gfull.exe” desde la carpeta del usuario monopoliadm.

C:\Users\monopoliadm\Documents\Gfull.exe  Mon May 21 15:10:33 2018 Z  Executed

Artefacto forense: Microsoft-Windows-TaskScheduler.evtx 

El registro de eventos de tareas programadas contiene eventos únicamente desde mayo 21 de 2018.

Desde mayo 21 hasta mayo 29 de 2018 se registraron 1938 eventos relacionados con la creación de la tarea NYAN para la ejecución del archivo C:\Users\monopoliadm\Documents\Gfull.exe.

Log Name:      Microsoft-Windows-TaskScheduler/Operational

Source:        Microsoft-Windows-TaskScheduler

Date:          5/21/2018 1:50:00 PM

Event ID:      129

Task Category: Created Task Process

Level:         Information

Keywords:      

Computer:      CONTADOR

Description:

Task Scheduler launch task “\NYAN” , instance “C:\Users\monopoliadm\Documents\Gfull.exe”  with process ID 4756.

Mayo 25 -29 de 2018:

Artefacto forense: Security.evtx

El log de eventos de seguridad contiene eventos únicamente desde mayo 25 de 2018

Se identifica una conexión exitosa realizada por la aplicación Ccleaners.exe con la dirección IP remota 181.52.100.4 en el puerto 6540:

Type Date Event Computer Application NameDestination address
Audit Success5/29/20188:17:31 AM5156CONTADOR\device\harddiskvolume2\users\ monopoliadm\music\ccleaners.exe181.52.100.4:6540

Se identifican 373 conexiones exitosas realizadas por la aplicación intell.exe con la dirección IP remota 181.52.100.4 en el puerto 6541:

Primer evento: 5/25/2018        5:50:26 PM

Último evento: 5/28/2018        7:39:25 AM

Type Date Event Computer Application NameDestination address
Audit Success5/28/20187:39:25 AM5156CONTADOR\device\harddiskvolume2\users\ monopoliadm\documents\intell.exe181.52.100.4:6541

Se identifican 187 conexiones exitosas realizadas por la aplicación programfile.exe con la dirección IP remota 181.52.100.4 en el puerto 8094:

Primer evento: 5/25/2018        5:50:32 PM

Último evento: 5/29/2018        8:29:47 AM

Type Date Event Computer Application NameDestination address
Audit Success5/29/20188:29:47 AM5156CONTADOR\device\harddiskvolume2\users\ monopoliadm\appdata\roaming\ microsoft\windows\recent\ programfile.exe181.52.100.4:8095

MD5:  b02372977ea87866e58520224daad4d532284d6889124666a9