El blog de García Larragan y Cía

En este post la  solución a uno de los retos de análisis forense de InCTF 2020 . Este reto tiene el título  "LOGarithm"  y mi valoración sobre su  dificultad  es  ★ ★ ★ ★ ☆ . Su  enunciado , que me he permitido traducir al español, dice lo siguiente: Nuestra empresa detectó una gran brecha en la seguridad de los datos. Creemos que el sistema de nuestro director Mike seguramente estaba comprometido. Según la declaración de Mike, él asegura que estaba hablando de temas muy confidenciales con otro empleado en el momento de esta brecha. Nuestro equipo recopiló rápidamente tanto el volcado de memoria como el tráfico de red del sistema. Se especula que el adversario podría haber extraído los datos confidenciales de forma bastante "segura". ¿Puedes averiguar qué estaba enviando Mike? Como recursos asociados al reto se proporcionan dos archivos: Evidence.vmem y capture.pcapng  Solución:  Comienzo por el primero de los archivos, y lo primero que hago, como siempre que se ana

En este post la  solución a uno de los retos de análisis forense de Cybercamp 2018 Online . Este reto tiene el título "Vacaciones" y mi valoración sobre su dificultad es  ★ ★ ★ ★ ☆ . Su  enunciado  dice lo siguiente: Por orden de un juez, se ha intervenido un equipo en casa de un sospechoso ciberdelincuente, por suerte su portátil aún se encontraba encendido cuando se produjo la detención. Se sabe que ha intentado eliminar pruebas, pero creemos que aún es posible obtener alguna. ¿Cuál era su nick en la red? (Respuesta: flag{NICK}). Como recursos asociados al reto se proporcionan dos archivos: volume.bin y dump.elf   Solución:  Comienzo por el primero de los archivos, que parece ser una imagen o volcado de un disco, y lo monto con la herramienta ‘FTK Imager’: Y pide que se formatee el disco para poder usarlo, por lo que no reconoce su contenido. Añado la imagen (volume.bin) como evidencia en la herramienta ‘FTK Imager’: Y veo que el volumen está cifrado usando LUKS (del ingl