Final Boss II - Análisis Forense e Ingeniería Inversa

Final Boss II – Análisis Forense e Ingeniería Inversa

En este laboratorio te enfrentarás a un caso de ataque realista que mezcla análisis forense post-incidente e ingeniería inversa básica. Una prestigiosa empresa de inteligencia artificial sufrió una intrusión remota fuera del horario laboral, y tú fuiste designado como el analista responsable de reconstruir los hechos y descubrir lo que el atacante dejó atrás.

En este laboratorio aprenderás:

• Análisis forense a partir de archivos recolectados de un sistema comprometido
• Interpretación de registros de eventos de Windows
• Reversing básico de binarios maliciosos
• Decodificación y desbloqueo de evidencias cifradas

🌱 Cómo comenzar este laboratorio

👉 Este reto se resuelve dentro de una máquina virtual preconfigurada para análisis forense. No es necesario acceder a la máquina comprometida ni utilizar herramientas externas peligrosas: analizarás archivos ya recolectados por un equipo de respuesta a incidentes.

1. Si aún no tienes la máquina virtual, descárgala desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/metadata-investigation-lab.ova

1. Importa la máquina virtual en VirtualBox.
2. Inicia la VM y accede como el usuario analyst:4geeks-lab.
3. Los archivos del caso se encuentran en:

1/home/analyst/Documents/incident_dump/

📄 Instrucciones

Durante la madrugada del 12 de junio de 2025, el servidor de respaldo de Quantum Forge Inc., una startup de inteligencia artificial, fue accedido de forma remota por un usuario que no debería haber iniciado sesión a esa hora: svc-backup.

Tras revisar los registros, el equipo detectó que se descargó y ejecutó un binario externo y apareció un archivo comprimido protegido con contraseña.

El equipo de ciberseguridad realizó una extracción controlada de evidencias del servidor comprometido (Windows Server) y te entregó la información clave para que realices un análisis completo en esta máquina segura de laboratorio (Linux).

Tu misión

1. Hay un archivo entre los entregados que contiene trazas de actividad sospechosa... una especie de diario de lo ocurrido. Si ordenas mentalmente los eventos, entenderás cómo comenzó todo.

2. Encontrarás referencias a procesos lanzados por comandos automatizados, incluso a software descargado desde internet. Quizá no es casualidad que también se haya incluido un binario en los archivos entregados.

3. Explorar el ejecutable changepass.exe podría darte más de una pista. Si ves una cadena extraña con caracteres poco legibles o con = al final... vale la pena probar si oculta algo.

4. Entre los archivos entregados, hay uno que parece estar protegido. ¿Qué crees que podrías usar para abrirlo?

5. Si lo consigues, dentro hallarás algo que muchos buscan y pocos encuentran.

💡 Tips

• Los logs no mienten. Observa cuidadosamente los tipos de evento y el orden temporal.
• No ejecutes nada. El análisis es post-mortem. Usa solo herramientas de lectura.
• No todo lo sospechoso grita “malware”. A veces, un proceso común en un horario inusual lo dice todo.

Cuando la encuentres la flag, habrás completado uno de los desafíos más realistas del laboratorio.

¡Buena suerte, Analista Forense!