Investigación de Metadatos: El secreto de la Mona Lisa

Investigación de Metadatos: El secreto de la Mona Lisa

En este laboratorio investigarás una posible intrusión en un sistema Linux. La única pista inicial es una imagen de la Mona Lisa que parece inofensiva... pero todo cambia cuando descubres que oculta metadatos sospechosos.

En este laboratorio aprenderás:

• Análisis de metadatos con herramientas como exiftool
• Identificación de usuarios sospechosos en el sistema
• Reconocimiento de tareas persistentes (cron jobs y scripts maliciosos)
• Contención y limpieza de procesos no autorizados
• Recolección y reconstrucción de evidencia forense

🌱 Cómo comenzar este laboratorio

👉 Este reto se resuelve dentro de una máquina virtual Linux preconfigurada.

1. Descarga la máquina virtual desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/metadata-investigation-lab.ova

1. Importa la máquina en VirtualBox.

2. Inicia sesión como el usuario artlover:4geeks-lab.
   El sistema incluye herramientas esenciales como:

   • exiftool
   • bash, grep, ps, crontab
   • Archivos preconfigurados con pistas y scripts maliciosos

📄 Instrucciones

El sistema que estás auditando contiene una imagen llamada monalisa.jpg. Algo en ella no cuadra: fue modificada en el futuro, y al inspeccionar sus metadatos, revela rutas sospechosas y el nombre de un usuario que no debería existir.

Si logras desactivar completamente la infraestructura del atacante, obtendrás acceso a la bandera completa del reto.

Tu tarea consiste en:

1. Analizar los metadatos de la imagen monalisa.jpg ubicada en el home de artlover.
   Busca campos como Comment, Note, o fechas anómalas.

2. Seguir las pistas hacia archivos disponibles, que pueden contener credenciales sospechosas.

3. Acceder al usuario del atacante con las credenciales encontradas.

4. Revisar su directorio personal. Allí encontrarás un fragmento de la bandera.

5. Descubre cron job maliciosos ejecutandose.

6. Eliminar el cron job y detener la tarea persistente.

7. Si lograste eliminar el comportamiento malicioso. Deberás posicionarte en el usuario intruder para ejecutar el comando de verificación:

1validate-challenge-finished

Este comando validará si haz borrado el proceso malicioso y te dará la segunda parte de la bandera.

Este laboratorio intenta ayudarte a pensar como un verdadero analista forense que sigue pistas, rastrea acciones maliciosas y contiene un incidente en curso.

Solo si completas cada fase del análisis, el sistema revelará toda la verdad.

¿Estás lista o listo para mirar más allá del espejo?

¡Buena suerte, Analista!