Ana Gabriela Aizprúa (8-950-1532)

Laboratorio – Los Secuestradores

Sección 1

Antes de comenzar con las preguntas, comencemos a descargar los datos que necesitaremos
para los laboratorios posteriores.

 Autopsy: Nos centramos en la versión de Windows de Autopsy. Es posible que encuentre

problemas si lo usa en Linux o macOS, ya que no todas las funciones son compatibles.
o Autopsy de 64 bits: [Link]
 Imágenes de disco.
o Archivos suministrados en Teams.
o Hashes para los archivos (si desea verificarlos):
MD5 (dispositivo1_portátil.e01) = dc176d653c5613e305e831525e874090
MD5 (dispositivo2_mediacard.e01) = c8343d3976eec2985e7580a2b6321591

 Conjunto de hash NIST NSRL:

[Link]
[Link]/download
 Módulo Video Triage: Rellene el formulario y descargue el archivo ZIP.
[Link]

Sección 2

Ahora instalaremos Autopsy en su computadora para que luego podamos realizar actividades
prácticas.
 Debería haber descargado el instalador ".msi" en la Sección 1.
 Instálelo usando las opciones predeterminadas.
 Inicie Autopsy y habilite el Repositorio central utilizando una base de datos SQLite en la
ubicación predeterminada de AppData.

Sección 3

Antes de comenzar la práctica de laboratorio, asegúrese de descargar las imágenes que se

enumeraron en la Sección 1. Si desea confirmar que no se dañó, estos son los valores MD5 de los
archivos:

 MD5 (dispositivo1_laptop.e01) = dc176d653c5613e305e831525e874090

 MD5 (dispositivo2_mediacard.e01) = c8343d3976eec2985e7580a2b6321591

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

Ahora comenzaremos el análisis del disco duro que se encontró en el auto de los secuestradores.
En este punto del escenario, aún no hemos registrado la casa y, por lo tanto, no tendremos acceso
al dispositivo de tarjeta de medios. Por lo tanto, asegúrese de no agregar eso todavía.

1. Iniciar autopsy
2. Elija "Crear nuevo caso"
3. Arma un caso con la siguiente información:
a. Nombre del caso: caso1
b. Directorio base: c:\ (o donde quiera almacenar el caso)
c. Ingrese un numero de caso (su identificación personal) y examinador (su nombre)
4. Genere nuevo host basado en fuente de datos
5. Agregue la imagen device1_laptop.e01 como fuente de datos (data source)

***** NOTA: NO agregue device2_mediacard.e01 todavía *****

6. Anule la selección de TODOS los módulos de ingesta.

- Como recordatorio, esto no es lo que normalmente haríamos. Pero, lo estamos haciendo
de esta manera para el diplomado.

7. Terminar de agregar imagen.

8. Abra la parte "Fuentes de datos" del árbol de la izquierda

Pregunta: ¿Cuántos volúmenes tiene la imagen de disco?

Pregunta: ¿Cuál es el nombre del archivo de espacio no asignado en vol1?
Pregunta: Haga clic derecho en vol7 y elija "Detalles del sistema de archivos". ¿Qué sistema de
archivos hay en vol7?

9. En Windows, abra “C:\case1” en un explorador de archivos y observe su contenido.

Pregunta: ¿Cómo se llama la base de datos?

Pregunta: Aproximadamente, ¿cuál es el tamaño de la base de datos (en megabytes)?

Sección 4

Mantenga abierto el mismo caso que creó en la sección anterior. Veamos los datos en el árbol.

Pregunta: Por extensión, ¿cuántas bases de datos hay?

Pregunta: ¿Cuál es el tamaño de la base de datos más grande?
Pregunta: ¿Ya hay bases de datos por tipo MIME?
Pregunta: ¿Cuáles son los nombres de los archivos entre 200 MB y 1 GB de tamaño?

Sección 5

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

Ahora vamos a comenzar a analizar la computadora portátil. Empezamos el caso con algunas
pistas. En particular, tenemos imágenes que se enviaron con los correos electrónicos de rescate
a Basis Technology.

1. Mantenga abierto el mismo caso del laboratorio anterior o vuelva a abrir el caso ("caso1").

2. Haga clic derecho en la imagen device1_laptop.e01 en el árbol y elija "Ejecutar módulos

de ingesta"

3. Deshabilite todos los módulos excepto los siguientes:

a. Búsqueda de hash o Hash Lookup

b. Identificación del tipo de archivo
c. Detector de desajuste de extensión (Mismatch Detector)
d. Extractor de archivos integrado
e. Exif Parser (Analizador de imágenes)
f. Email Parser (Analizador de correo electrónico)
g. Repositorio central

4. Configure el módulo Hash Lookup con dos conjuntos de hash:

a. Importe el archivo NSRL ([Link]) que descargó previamente
en la Sección 1.
i. Es posible que deba descomprimir el archivo que descargó.
ii. Puede utilizar los valores predeterminados (es decir, Tipo: Conocido).
b. Crear un nuevo conjunto de hash:
i. Destino: Local
ii. Nombre: Ransom Case
iii. Hash Set Path: [Cualquier carpeta en su computadora]
iv. Tipo: Notable
c. Use el botón "Agregar hash al conjunto de hash" para copiar y pegar el siguiente
valor MD5 en el conjunto de hash "Ransom Case". Este es el hash de la nota de
rescate. 07c94320f4e41291f855d450f68c8c5b

5. Inicie los módulos de ingesta.

6. Observar:

a. Utilice Ingest Inbox como un indicador cuando se encuentren hits de hash

"conocidos como malos".
b. Use "Ir al resultado" para ir al área del árbol de resultados de hash.
c. Ver el hit de hash.

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

Pregunta: Deje que la ingesta obtenga al menos un 15 % del disco. ¿Cuántos hits totales se
encuentran en los resultados de "Hashset Hits" después de ejecutar el módulo Hash Lookup
Ingest?

Pregunta: ¿Cuáles son los nombres de archivo de los resultados de hash?

Uno de los resultados está en una carpeta llamada "Imágenes". Haga clic derecho en el archivo
para "Ver" allí.

Pregunta: ¿Cuántos archivos ".jpg" en total hay en la carpeta "Imágenes" donde se encontró el
hit de hash notable?

Mientras revisa las imágenes en esa carpeta, se nota que “IMG_20191024_155744.jpg” muestra
violaciones de salud al llevar al perro a un restaurante. Queremos etiquetar esto como Notable:

a. Haz clic derecho sobre él

b. Seleccione "Agregar etiqueta de archivo" y elija "Elemento notable"

Sección 6

NOTA: Ejecutamos los módulos activados en la sección anterior.

Pregunta: En "Resultados de metadatos Exif", ¿cuántas fotos se tomaron con los siguientes
dispositivos?

¿iPhone 7 Plus?
¿Samsung Galaxy S8?
BLU R1 HD?

En el área "Vistas de Archivo", busque el archivo comprimido que se llama "[Link]".

Vaya al directorio original (clic con el botón derecho -> Ver archivo en el directorio).

Haga doble clic en él para entrar en él.

Pregunta: ¿Cuál es el tipo MIME listado para el archivo “D3D11_Default.[Link]”?

Pregunta: ¿Cuál es el tamaño del archivo "D3D11_Default.[Link]"?
Pregunta: ¿Hay resultados de discrepancia de extensiones?
Pregunta: ¿Cuáles son algunos tipos de archivos comunes con extensiones inesperadas?

Vuelva a ejecutar la ingesta con solo el módulo Archivos interesantes habilitado.

Cree un conjunto de archivos interesante llamado "Cifrado". Con dos reglas que coinciden con
los archivos llamados "[Link]" o "[Link]".
Pregunta: ¿Se encontró VeraCrypt en el sistema?

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

Pregunta: ¿Se encontró TrueCrypt en el sistema?

Sección 7

Ejecute la ingesta con solo "Actividad reciente" habilitada.

Pregunta: ¿Cuántos Web Bookmarks se encontraron?

Pregunta: ¿Qué URL es un marcador sospechoso dado el secuestro de perros?

Pregunta: ¿De qué día son las cookies asociadas al dominio “[Link]”?
Pregunta: ¿Cuál es el valor asociado con la "identificación" del nombre en Autocompletar
formulario web?
Pregunta: En Historial web, ¿qué día se realizaron las siguientes búsquedas de Google?

“cómo tratar una mordedura de perro”

“cómo hacer una nota de rescate”

Pregunta: ¿Cuántos dispositivos USB que no son VM se conectaron al sistema?

NOTA: Es posible que en algunos sistemas Linux no obtienen una respuesta correcta para esto
con Autopsy 4.14 porque RegRipper no puede ejecutarse. Este problema se solucionó en 4.15.

Estamos escuchando acerca de algunos sistemas de Windows donde la interfaz de usuario no

muestra las identificaciones de los dispositivos (pero se guardan en la base de datos de casos). A
continuación, puede volver a abrir el caso y ver los resultados.

Pregunta: ¿Cuántos archivos hay actualmente en la Papelera de reciclaje?

Pregunta: ¿Cuál era probablemente el nombre original de los archivos?
Pregunta: En Web Accounts, ¿cuál es el nombre de usuario asociado con la cuenta de Twitter
que se encuentra en el dispositivo?

Sección 8

Ahora ejecutaremos la ingesta y la completaremos previamente con palabras clave que ya

conocemos sobre el caso.

1. Ejecute ingesta con "Búsqueda de palabras clave" o keyword search habilitada.

2. Cree una lista de palabras clave con las siguientes palabras:
a. Palabras clave de concordancia exacta: renzik
3. Configure para actualizar cada 1 minuto en la pestaña General (para que no tenga que
esperar demasiado, vuelva a cambiarlo después).
4. Iniciar ingesta.

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

Después de que se ejecute para un pequeño porcentaje de los archivos, debería ver algunos
resultados. Honestamente, no son tan emocionantes, pero son lo suficientemente buenos para
este laboratorio. Hay otros más relevantes si lo dejas correr hasta un 15% más o menos.

Pregunta: Hay referencias a un documento con renzik. ¿Cuál es el nombre del archivo? ¿Cuál es
la fecha de creación del archivo?
Pregunta: ¿Cuántos hits hay para "Renzik" en [Link]?

No olvide volver a cambiar el temporizador periódico de búsqueda de palabras clave a 5 minutos.

Sección 9

En este punto del escenario, la policía registró la casa y, con la ayuda de Siri, el detector
electrónico K9, encontró una tarjeta de medios. Agregaremos eso a nuestro caso y
encontraremos algunas correlaciones.

Agregue device2_mediacard.e01 como una nueva fuente de datos (NOTA: Ya agregamos la

fuente de datos device1_laptop.e01 al repositorio central durante el laboratorio de búsqueda de
hash)

Haga clic derecho en device2_mediacard.e01 y ejecute Ingest Modules, con lo siguiente

habilitado:

1. Búsqueda de hash
2. Analizador Exif
3. Repositorio central

Pregunta: ¿Se creó un elemento interesante porque un archivo en la tarjeta multimedia se marcó
previamente como notable?

Pregunta: La imagen en la computadora portátil tenía una fecha de creación de 2019-11-13.

¿Cuál es la fecha de creación (en formato AAAA-MM-DD) en la tarjeta multimedia? ¿Cuál es la
descripción del dispositivo de dónde se adquirió?

Pregunta: ¿Cuántos archivos .jpg en total hay en la misma carpeta que el archivo Notable?

Pregunta: Mire la pestaña Otras ocurrencias de ese archivo para ver si apareció en otro lugar en
este caso con un nombre diferente. Si lo fuera, ¿cuál es el otro nombre?

Sección 10

Descargó el módulo Video Triage del sitio [Link] en la Sección 1.

1. Instálelo usando Herramientas -> Complementos.

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

2. Pruébelo en uno de los videos del caso. Los dognappers no hicieron mucho con los videos,
pero puedes ordenarlos por tamaño para elegir uno "grande" y ver los distintos
fotogramas.

IMPORTANTE: Generar su reporte y conclusiones del caso.

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

REPORTE DEL LABORATORIO

Pregunta Respuestas
SECCIÓN 3
¿Cuántos volúmenes tiene la imagen de disco
¿Cuál es el nombre del archivo de espacio no
asignado en vol1?
¿Qué sistema de archivos hay en vol7?
¿Cómo se llama la base de datos?
SECCIÓN 4
Aproximadamente, ¿cuál es el tamaño de la base de
datos (en megabytes)?
Por extensión, ¿cuántas bases de datos hay?
¿Cuál es el tamaño de la base de datos más grande?
¿Ya hay bases de datos por tipo MIME?
¿Cuáles son los nombres de los archivos entre 200 MB
y 1 GB de tamaño?
¿Cuántos hits totales se encuentran en los resultados
de "Hashset Hits" después de ejecutar el módulo Hash
Lookup Ingest?

EVIDENCIAS:

Sección Resultados
Sección 1
Sección 2
Sección 3
Sección 4
Sección 5

Diplomado Ciberseguridad – Computo Forense 2023

 Ana Gabriela Aizprúa (8-950-1532)

Sección 6
Sección 7
Sección 8
Sección 9
Sección 10

CONCLUSIÓN:

Diplomado Ciberseguridad – Computo Forense 2023