Investigación forense: estudio para determinar los métodos usados en la intrusión del caso del banco jbr

Abstract

El presente trabajo tiene como objetivo dilucidar si la institución bancaria JBR sufrió un ataque de intrusión informática. Para reconstruir la escena de los hechos analizaremos todo tipo de archivos o registros que nos sirvan para descubrir los rastros que el posible atacante pudo haber dejado. Como pista principal se encontró un archivo update.exe de 0 bytes de longitud en la carpeta raíz de uno de los servidores del Banco JBR, gracias a esto comenzó la investigación realizando la captura de datos en vivo, seguida de la obtención de imágenes forenses, finalizando con el apagado del sistema para evitar que el evento continúe. El análisis empieza con la interpretación de los datos capturados en vivo, es decir, conexiones, puertos procesos, sesiones abiertas; cualquier información que permita determinar si hubo un ataque. Seguido del análisis de sesiones capturadas con la herramienta tcpdump y terminamos con la interpretación de la información en la imagen forense, que con la ayuda de la herramienta Autopsy se pude recrear una línea de tiempo de la actividad en los archivos y así concluir si existió un ataque y si el mismo tuvo éxito.