El blog de García Larragan y Cía

En este post la  solución a uno de los retos de análisis forense de InCTF 2020 . Este reto tiene el título  "LOGarithm"  y mi valoración sobre su  dificultad  es  ★ ★ ★ ★ ☆ . Su  enunciado , que me he permitido traducir al español, dice lo siguiente: Nuestra empresa detectó una gran brecha en la seguridad de los datos. Creemos que el sistema de nuestro director Mike seguramente estaba comprometido. Según la declaración de Mike, él asegura que estaba hablando de temas muy confidenciales con otro empleado en el momento de esta brecha. Nuestro equipo recopiló rápidamente tanto el volcado de memoria como el tráfico de red del sistema. Se especula que el adversario podría haber extraído los datos confidenciales de forma bastante "segura". ¿Puedes averiguar qué estaba enviando Mike? Como recursos asociados al reto se proporcionan dos archivos: Evidence.vmem y capture.pcapng  Solución:  Comienzo por el primero de los archivos, y lo primero...

En este post la  solución a uno de los retos de análisis forense de Cybercamp 2018 Online . Este reto tiene el título "Vacaciones" y mi valoración sobre su dificultad es  ★ ★ ★ ★ ☆ . Su  enunciado  dice lo siguiente: Por orden de un juez, se ha intervenido un equipo en casa de un sospechoso ciberdelincuente, por suerte su portátil aún se encontraba encendido cuando se produjo la detención. Se sabe que ha intentado eliminar pruebas, pero creemos que aún es posible obtener alguna. ¿Cuál era su nick en la red? (Respuesta: flag{NICK}). Como recursos asociados al reto se proporcionan dos archivos: volume.bin y dump.elf   Solución:  Comienzo por el primero de los archivos, que parece ser una imagen o volcado de un disco, y lo monto con la herramienta ‘FTK Imager’: Y pide que se formatee el disco para poder usarlo, por lo que no reconoce su contenido. Añado la imagen (volume.bin) como evidencia en la herramienta ‘FTK Imager’: Y veo que el volumen está cifra...

En esta entrada la  solución a uno de los retos de la categoría 'Forense' de la edición de 2019 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío lleva por título  'Broken Pad'  y, en mi opinión, presenta un  nivel  de dificultad alto  ( ★ ★ ★ ★ ☆ ) . Enunciado :  Han solicitado tu ayuda en un caso forense y han puesto a tu disposición una imagen de disco y de memoria RAM. Sin embargo, parece ser que quien realizase la adquisición olvidó el detalle de que el disco está cifrado con Bitlocker. Utiliza tus dotes de investigación para conseguir acceder a los datos que contiene. Utiliza la herramienta volatility para el análisis de RAM y cuando tengas la clave, utiliza el comando "dislocker-fuse" desde tu Kali. Busca algún rec...

En esta entrada la  solución a otro de los retos de "Forense" de la edición de 2017 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad muy bajo  ( ★ ☆☆☆☆ ) . Enunciado :   Parece que D. Furioso, profe de mates, ha tenido un percance y no quiere facilitar cierta la información relativa a la matrícula de su coche desaparecido, necesaria para tramitar el parte con el seguro. Hemos logrado acceder al equipo de D. Furioso y hemos realizado una extracción de su carpeta de correo electrónico. Tenemos que examinar sus comunicaciones para obtener la información. Indica la matrícula del coche de D. Furioso. Recursos asociados al reto : archivo  CC17-PCO-03_AnalisisCorreos.zip . Soluc...

En esta entrada la  solución a otro de los retos de "Forense" de la edición de 2017 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad muy bajo  ( ★ ☆☆☆☆ ) . Enunciado :   Alguien está usando servicios sin cifrar el tráfico, algo que no se puede permitir, transmitiendo las credenciales de acceso en texto plano. Se ha obtenido una captura de tráfico donde se ha producido una conexión remota entre dos equipos. Debemos encontrar las credenciales utilizadas en dicha conexión para conocer quién es el usuario e indicarle que debe hacerlo de manera correcta. Introduce las credenciales con el formato usuario:contraseña. Recursos asociados al reto : archivo  Captura.pcap . Solución ...

En esta entrada la  solución a uno de los retos de "Forense" de la edición de 2017 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'  y formato  'Jeopardy' , dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. Este desafío, en mi opinión, presenta un  nivel  de dificultad medio  ( ★ ★ ★ ☆☆ ) . Enunciado :   Se ha detenido un sospechoso de haberse infiltrado en una gran empresa en España, desde la que ha estado enviando un código a un asociado para informar sobre ciertas acciones previamente establecidas. Se necesita encontrar indicios de la supuesta clave que ha enviado. Hemos obtenido una captura de tráfico de su ordenador. Analízala para ver si existe algún tipo de mensaje o palabra clave que haya intentado ocultar con especial cuidado. Introduce el mensaje oculto en mayúsculas. Recursos asociados al reto : archi...

Continúo en este post con las soluciones a retos de la  categoría "Forense"  de la edición de 2018 de CyberOlympics , competición en modalidad  'on-line' , estilo  'Capture the Flag'   y formato  'Jeopardy'  dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp. En este caso, en mi opinión, el desafío en cuestión presentaba un  nivel  de dificultad muy bajo  ( ★ ☆☆☆☆ ) . Su  enunciado  decía lo siguiente: En tu empresa, la cual se tratan datos muy confidenciales, se ha detectado una posible fuga de información por parte de un empleado enfadado. Se cree que está vendiendo secretos a la inteligencia de otro país, por lo que tu labor es averiguar el dato que ha sido filtrado para ayudar a las autoridades locales. Solución :  abro  con  'Wireshark'   el archivo asociado al reto  (Medium_11.pcap) y , como suele ser ...