El blog de García Larragan y Cía

En este post la  solución a uno de los retos de análisis forense de InCTF 2020 . Este reto tiene el título  "LOGarithm"  y mi valoración sobre su  dificultad  es  ★ ★ ★ ★ ☆ . Su  enunciado , que me he permitido traducir al español, dice lo siguiente: Nuestra empresa detectó una gran brecha en la seguridad de los datos. Creemos que el sistema de nuestro director Mike seguramente estaba comprometido. Según la declaración de Mike, él asegura que estaba hablando de temas muy confidenciales con otro empleado en el momento de esta brecha. Nuestro equipo recopiló rápidamente tanto el volcado de memoria como el tráfico de red del sistema. Se especula que el adversario podría haber extraído los datos confidenciales de forma bastante "segura". ¿Puedes averiguar qué estaba enviando Mike? Como recursos asociados al reto se proporcionan dos archivos: Evidence.vmem y capture.pcapng  Solución:  Comienzo por el primero de los archivos, y lo primero...

En este post la  solución a uno de los retos de análisis forense de Cybercamp 2018 Online . Este reto tiene el título "Vacaciones" y mi valoración sobre su dificultad es  ★ ★ ★ ★ ☆ . Su  enunciado  dice lo siguiente: Por orden de un juez, se ha intervenido un equipo en casa de un sospechoso ciberdelincuente, por suerte su portátil aún se encontraba encendido cuando se produjo la detención. Se sabe que ha intentado eliminar pruebas, pero creemos que aún es posible obtener alguna. ¿Cuál era su nick en la red? (Respuesta: flag{NICK}). Como recursos asociados al reto se proporcionan dos archivos: volume.bin y dump.elf   Solución:  Comienzo por el primero de los archivos, que parece ser una imagen o volcado de un disco, y lo monto con la herramienta ‘FTK Imager’: Y pide que se formatee el disco para poder usarlo, por lo que no reconoce su contenido. Añado la imagen (volume.bin) como evidencia en la herramienta ‘FTK Imager’: Y veo que el volumen está cifra...

En esta entrada la  solución a uno de los retos de la categoría 'Forense' de la edición de 2019 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío lleva por título  'Broken Pad'  y, en mi opinión, presenta un  nivel  de dificultad alto  ( ★ ★ ★ ★ ☆ ) . Enunciado :  Han solicitado tu ayuda en un caso forense y han puesto a tu disposición una imagen de disco y de memoria RAM. Sin embargo, parece ser que quien realizase la adquisición olvidó el detalle de que el disco está cifrado con Bitlocker. Utiliza tus dotes de investigación para conseguir acceder a los datos que contiene. Utiliza la herramienta volatility para el análisis de RAM y cuando tengas la clave, utiliza el comando "dislocker-fuse" desde tu Kali. Busca algún rec...

En esta entrada la  solución a otro de los retos de "Forense" de la edición de 2017 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad muy bajo  ( ★ ☆☆☆☆ ) . Enunciado :   Parece que D. Furioso, profe de mates, ha tenido un percance y no quiere facilitar cierta la información relativa a la matrícula de su coche desaparecido, necesaria para tramitar el parte con el seguro. Hemos logrado acceder al equipo de D. Furioso y hemos realizado una extracción de su carpeta de correo electrónico. Tenemos que examinar sus comunicaciones para obtener la información. Indica la matrícula del coche de D. Furioso. Recursos asociados al reto : archivo  CC17-PCO-03_AnalisisCorreos.zip . Soluc...

En esta entrada la  solución a otro de los retos de "Forense" de la edición de 2017 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad muy bajo  ( ★ ☆☆☆☆ ) . Enunciado :   Alguien está usando servicios sin cifrar el tráfico, algo que no se puede permitir, transmitiendo las credenciales de acceso en texto plano. Se ha obtenido una captura de tráfico donde se ha producido una conexión remota entre dos equipos. Debemos encontrar las credenciales utilizadas en dicha conexión para conocer quién es el usuario e indicarle que debe hacerlo de manera correcta. Introduce las credenciales con el formato usuario:contraseña. Recursos asociados al reto : archivo  Captura.pcap . Solución ...

En esta entrada la  solución a uno de los retos de "Forense" de la edición de 2017 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad medio  ( ★ ★ ★ ☆☆ ) . Enunciado :   Se ha detenido un sospechoso de haberse infiltrado en una gran empresa en España, desde la que ha estado enviando un código a un asociado para informar sobre ciertas acciones previamente establecidas. Se necesita encontrar indicios de la supuesta clave que ha enviado. Hemos obtenido una captura de tráfico de su ordenador. Analízala para ver si existe algún tipo de mensaje o palabra clave que haya intentado ocultar con especial cuidado. Introduce el mensaje oculto en mayúsculas. Recursos asociados al reto : archi...

En esta entrada la  solución a uno de los retos de  'reverse'  (ingeniería inversa) de la edición de 2018 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad bajo  ( ★ ★ ☆☆☆ ) . Enunciado :  Un conocido fabricante de ATM (cajeros automáticos) quiere implantar un sistema de seguridad con clave de manera que, aunque un técnico malicioso obtenga el software, no pueda obtener la clave original. Como están tan seguros de que es imposible, nos han dado una copia del programa que realiza el filtro para que la auditemos. Debemos averiguar cuál es la contraseña válida que acepta el programa. Recursos asociados al reto : archivo   reto13 . Solución :  lo primero que hago es ...