← Regresar a lecciones

  • linux

  • malware

  • persistencia

  • crontab

  • investigación digital

  • live incident response

  • análisis forense

    • ciberseguridad

La Sonrisa Oculta - Análisis Forense de la Mona Lisa Comprometida

Metodología de incidentes en vivo: ORDER OF VOLATILITY
Hipótesis: el sistema como escena del crimen
Investigación forense: : protocolo de incidente vivo
Neutralización integral
Mentalidad del investigador forense

Cuando un atacante infiltra un sistema, rara vez se conforma con robar información y desaparecer. Deja pistas ocultas en lugares aparentemente inocentes y establece mecanismos que le permitan regresar cuando lo necesite. En este laboratorio, te pondrás en el rol de un analista forense digital enfrentando un incidente en vivo (live incident), con la misión de descifrar los secretos que la Mona Lisa esconde.

⚠️ Cuidado: Estás ante un sistema activamente comprometido A diferencia de un análisis forense post-mortem (sistema apagado), aquí el atacante podría seguir presente y sus mecanismos maliciosos continúan ejecutándose. Esto significa que cada acción que tomes puede ser observada, y cualquier error podría alertar al intruso o corromper evidencia crítica.

Metodología de incidentes en vivo: ORDER OF VOLATILITY

En un sistema comprometido activo, el orden de recolección de evidencia es crítico. Los datos más volátiles desaparecen primero:

  • Registros de CPU y memoria RAM (se pierden al reiniciar)
  • Conexiones de red activas (cambian constantemente)
  • Procesos en ejecución (pueden terminar en cualquier momento)
  • Archivos temporales (se sobrescriben o eliminan)
  • Archivos persistentes (menos volátiles, pero pueden modificarse)

Antes de sumergirte en la investigación del sistema, reflexiona como un verdadero analista: ¿Esta imagen de la Mona Lisa contiene solo píxeles de arte renacentista? ¿Qué herramientas utilizarías para extraer cada byte de información disponible sin alertar al atacante?

Regla de oro: En forense de incidentes vivos, cada comando que ejecutes puede ser monitoreado. Actúa con sigilo y precisión. La clave está en no asumir nada. En forense digital, incluso la obra de arte más famosa del mundo puede ser un vector de ataque.

Hipótesis: el sistema como escena del crimen

Los síntomas iniciales apuntan a algo más profundo que una simple imagen comprometida. En Linux, los atacantes experimentados suelen establecer persistencia mediante:

  • Procesos daemon maliciosos que se ejecutan continuamente en segundo plano.
  • Tareas programadas (cron jobs) configuradas para mantener su presencia.
  • Modificación constante de archivos que contienen información crítica.

Investigación forense: : protocolo de incidente vivo

Un analista debe seguir un protocolo para incidentes activos. Busca inconsistencias, coordenadas sospechosas, o información que no debería estar ahí.

  1. Documentación inicial: Antes de tocar nada, documenta el estado actual del sistema. Un comando mal ejecutado puede eliminar evidencia para siempre.

  2. Listar procesos activos:

1ps aux --sort=start_time | less

Examina procesos recientes que no reconozcas, especialmente aquellos con nombres relacionados con arte, imágenes, o cadenas aparentemente aleatorias.

  1. Buscar tareas programadas:
1crontab -l
2ls -l /etc/cron.*
3sudo grep -R "" /var/spool/cron/crontabs

La clave está en distinguir tareas legítimas del sistema de otras que parecen fuera de lugar.

  1. Monitoreo discreto: Observa cambios sin generar mucha actividad
1watch -n 5 'ps aux | tail -10'  # Procesos más recientes
2watch -n 10 cat /ruta/al/archivo/sospechoso

Advertencia crítica: En un incidente vivo, el atacante puede:

  • Detectar tus comandos de investigación
  • Modificar evidencia en tiempo real
  • Activar mecanismos de autodestrucción
  • Borrar logs de su actividad

La clave está en ser invisible mientras recolectas evidencia.

Neutralización integral

Cuando localices tanto el origen de la información oculta como la persistencia del sistema, tu trabajo como analista será:

  • Detener el proceso malicioso que mantiene la actividad.
  • Desactivar la tarea programada que lo reactiva.
  • Eliminar o aislar el artefacto que permite al atacante mantener acceso.
  • Pivota a la cuenta del intruso.

Recuerda: la investigación debe ser completa. Si solo neutralizas una parte del ataque pero no accedes a toda la información, el caso quedará incompleto.

Mentalidad del investigador forense

Este reto no es un simple "encuentra la flag oculta". Es un ejercicio para entrenar la mentalidad de un analista profesional:

  • Analizar evidencia digital sin contaminarla.
  • Correlacionar pistas de múltiples fuentes.
  • Seguir rastros digitales a través del sistema.
  • Neutralizar amenazas de manera sistemática.
  • Documentar hallazgos para casos futuros.

No pienses en términos de "qué herramienta me da la respuesta", sino en cómo un analista forense profesional conecta evidencia digital dispersa, neutraliza amenazas activas, y reconstruye la historia completa de un incidente. Esa es la habilidad que este laboratorio busca desarrollar.