Archivos de Etiquetas: md5

Video Tutorial / Detalles del Sistema y Firmas Criptográficas en el Análisis de Malware

Continua desde “Video tutorial / Intoducción y Conceptos Básicos en el Análisis de Malware“.

Segundo video tutorial enfocado al Análisis práctico de Malware. Como objetivo de este, veremos diferentes métodos de recolección de la Información sobre el sistema afectado y el Sistema de Análisis. Además veremos distintos maneras de llevar a cabo el proceso de creación y verificación de firmas criptográficas de el/los archivos sospechosos que son el objeto del Análisis.

  • Repaso sesión anterior.
  • Detalles del Sistema.
  • Valores Hash (Firmas Criptográficas).
  • CTPH (Context Triggered Piecewise Hashing).

Resumen:

Copia del archivo malicioso (Malware/Virus Medellín-wind.exe) (Archivo publicado con fines meramente educativos/divulgativos. El mal uso de este, es responsabilidad de cada usuario. El autor de este artículo queda exento de responsabilidad en el momento en que el usuario descarga dicho archivo). A la fecha, casi la totalidad de Antivirus detectan este fichero como malicioso. Operar solo bajo entornos controlados de laboratorios.
Password: www.dragonjar.org
MD5: A0A1382EF2A6593CE322F2E2457F78D7

Descargar Video Tutorial (Password: www.dragonjar.org)

Laboratorio: Informática Forense – Verificando la integridad de los archivos mediante la firma MD5

Es necesario aclarar que casi la totalidad de los video tutoriales que serán publicados en el transcurso del desarrollo de los laboratorios de informática forense, están dirigidos a cubrir únicamente el desarrollo del Laboratorio número 4 realizado por Labs.DragonJAR.org en la ciudad de Medellín, como se aclaró desde un comienzo este laboratorio está basado completamente en el recurso publicado por la gente de UNAM.

A pesar de ello, muchos procedimientos registrados en los videos pueden ser utilizados en diferentes escenarios que se asemejen de alguna forma.

Verificación de la integridad de los archivos (imágenes) mediante su firma MD5, esta imágen corresponde al sistema previamente comprometido y que será objeto del análisis.

Leer más…

Laboratorio: Informática Forense – Descripción del escenario

En el pasado Laboratorio de Informática Forense realizado en la ciudad de Medellín, se utilizó el recurso publicado por la gente UNAM en el magnífico reto sobre Informática Forense.

Escenario propuesto:

El administrador de sistemas de una pequeña empresa ha notado que existe una cuenta que él no creó en su sistema de ERP, por lo que sospecha de algún ingreso no autorizado, del que desconoce el alcance.

El sistema en que se ejecuta la aplicación es un servidor Windows 2003, cuya principal función era proporcionar acceso al sistema ERP a través de la Web. Hace poco tiempo que habían migrado al uso de este servidor.

Según el administrador, trataba de mantener el sistema actualizado por lo que no sabe cómo pudieron ingresar a su sistema. Sin embargo, también mencionó que más de una persona tiene acceso a cuentas privilegiadas en el sistema y aceptó que ocupaban a veces estas cuentas para labores no sólo administrativas, sino también personales o para aplicaciones que no requerían ningún tipo de privilegio para ejecutarse.

Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió y el alcance del daño al sistema y a la información contenida en él.

Leer más…