Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
88
)
-
▼
enero
(Total:
88
)
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
Google Daily Listen, una IA que resume tus noticia...
-
MAGIS TV PRO: cómo descargar BlueStacks 5 para pod...
-
Telefónica sufre la filtración de los datos de su ...
-
OFFAT: OFFensive API Tester OWASP
-
Ejemplos ataques DDoS capa 7 con MHDDoS
-
HDMI 2.2: promete 96 Gbps y el fin de los problema...
-
Jeff Bezos competirá con Elon Musk en España por o...
-
Amenazan con exponer ubicaciones de más de 40 mill...
-
¿Qué es Netflow e IPFIX? Monitoreo y Análisis de T...
-
Activar SATA Link Power Management en OPNsense
-
Más de 4.000 puertas traseras usando webshells reg...
-
Automatizar copias de seguridad en OPNsense
-
Optimizar rendimiento de OPNsense: Tunables
-
Microsoft Phi-4, su IA más poderosa que ahora es d...
-
Corsair Xeneon Edge, una pantalla táctil de 14,5" ...
-
Raspberry Pi 5 con 16GB
-
Establecer un clúster OPNsense HA (Alta Disponibil...
-
El fin del soporte para Windows 10 en octubre de 2...
-
Comando netsh en Windows: ejemplos de uso
-
Los cambios en la moderación de Meta permiten llam...
-
AMD anuncia sus nuevos procesadores gaming de sobr...
-
Los nuevos procesadores Core Ultra 200 de Intel de...
-
Razer presenta un prototipo de silla con calefacci...
-
¿Quieres un adaptador de cassette con Bluetooth? ¡...
-
Megafiltración de datos en call center expone a 7 ...
-
Túnel SSH port forwarding: Local, remote y dynamic
-
Herramientas de IA gratuitas que debes conocer
-
ChatGPT reconoce que pierden dinero incluso con la...
-
Hackean los datos de los miembros de la argentina ...
-
Publicar automáticamente de un Feed RSS a Telegram...
-
¿Qué es un webhook?
-
Nvidia presenta las nuevas tarjetas gráficas GeFor...
-
Qué es el rate limit y por qué debes limitar petic...
-
Monitorización HDD y SSD con SMART en OPNsense con...
-
¿Qué es la tecnología HARM de discos duros? ¿Qué i...
-
Alternativas gratuitas al Escritorio Remoto: RustD...
-
Uptime Kuma, monitoreo de servicios y más
-
El CAPTCHA de DOOM
-
La importancia de la pasta térmica del procesador
-
Intel XMP VS AMD EXPO
-
Vulnerabilidad crítica en Nuclei que permite ejecu...
-
Detenido un soldado estadounidense de 20 años que ...
-
DoubleClickjacking: la nueva amenaza de los dobles...
-
OPNsense IPv6 tunnel con Hurricane Electric Tunnel...
-
Configurar Dynamic DNS (DDNS) en OPNsense
-
Cómo escanear documentos y convertirlos a PDF dire...
-
¿Qué es la ventana de contexto en IA?
-
Estados Unidos ofrece 10 millones de dólares por l...
-
Apple pagará 95 millones de dólares para resolver ...
-
Exploit DoS para LDAP Nightmare (CVE-2024-49112)
-
0.0.0.0 : ¿Qué es la Dirección IP “cero” ?
-
-
▼
enero
(Total:
88
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Telefónica, una importante empresa de telecomunicaciones, confirmó recientemente una brecha en su sistema interno de venta de billetes, que ... -
Microsoft ha tomado una estrategia más agresiva para obligar a sus usuarios a actualizarse a Windows 11. La compañía reveló que Windows 1... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
RDP Bitmap Forensics para investigaciones DFIR
RDP Bitmap Forensics for DFIR InvestigationsRemote Desktop Protocol (RDP) es un protocolo ampliamente utilizado que permite a los usuarios conectarse remotamente y controlar otros ordenadores. Por muy cómodo que sea, el RDP también presenta retos y oportunidades únicos para los profesionales de la investigación forense digital y la respuesta a incidentes (DFIR). Uno de los aspectos menos conocidos pero valiosos del análisis forense de RDP implica el examen de los archivos caché de mapa de bits. En este post, exploraremos lo que implica el análisis forense de mapas de bits RDP y proporcionaremos un ejemplo práctico de cómo aprovechar esta técnica en una investigación DFIR.
Entendiendo la caché de mapa de bits RDP
Cuando los usuarios se conectan a un escritorio remoto, RDP optimiza la conexión almacenando en caché imágenes de la pantalla, incluyendo iconos, bordes de ventanas y otros elementos gráficos, para reducir el uso de ancho de banda y mejorar el rendimiento. Estas imágenes en caché, o mapas de bits, se almacenan en archivos en la máquina cliente. Al examinar estos archivos de caché de mapa de bits, los investigadores forenses pueden recuperar restos de lo que se mostraba en el escritorio remoto, lo que ofrece información valiosa sobre las actividades del usuario.
Ubicaciones clave de los archivos caché de mapa de bits
Los archivos de caché de mapa de bits suelen almacenarse en las siguientes ubicaciones de un sistema Windows:
Windows XP y anteriores:
C:\Documents and Settings\{username}\Local Settings\Application Data\Microsoft\Terminal Server Client\Cache
Windows Vista y posteriores:
C:\Users\{username}\AppData\Local\Microsoft\Terminal Server Client\Cache
Estos archivos suelen tener nombres como cache000.bin, cache001.bin, etc.
Análisis forense de mapas de bits RDP en escenarios de movimiento lateral
La caché de mapa de bits RDP es particularmente útil para investigar escenarios de movimiento lateral ya que el análisis se realiza en el lado del cliente RDP. Esto significa que incluso si el atacante borra los registros y otras pruebas en el servidor remoto, los artefactos forenses todavía se pueden recuperar de la máquina cliente utilizada para acceder al escritorio remoto.
Ejemplo práctico: Aprovechamiento del mapa de bits RDP en una investigación
Veamos un ejemplo práctico para demostrar cómo se puede utilizar el análisis forense del mapa de bits RDP en una investigación DFIR.
Escenario: Investigando un Acceso No Autorizado
Suponga que su organización sospecha que un usuario no autorizado accedió a un servidor crítico a través de RDP. Ya ha identificado el marco temporal de la actividad sospechosa. Su objetivo es determinar qué acciones realizó el usuario no autorizado durante la sesión RDP.
Paso 1: Identificar y recopilar archivos de caché de mapa de bits
En primer lugar, recopile los archivos de caché de mapa de bits del equipo cliente sospechoso. Estos archivos suelen encontrarse en el directorio de caché mencionado anteriormente. Copie estos archivos en su estación de trabajo forense para analizarlos.
Paso 2: Analizar los archivos caché de mapa de bits
Existen varias herramientas que pueden ayudarle a analizar los archivos caché de mapa de bits. En este caso, utilizaremos BMC-Tool para extraer las imágenes de mapa de bits y RDP Cache Stitcher para reconstruir la caché.
Extraer mapas de bits con BMC-Tool:
git clone https://github.com/ANSSI-FR/bmc-tools.git
cd bmc-tools
./bmc-tools.py -s cache0000 -d cache0000_output -b
Paso 3: Unir los mapas de bits
La salida de BMC-Tool será en forma de mosaicos fragmentados. Para unir estos mosaicos, utilizaremos RDP Cache Stitcher.
Descarga y ejecuta RDP Cache Stitcher:
wget https://github.com/example/rdp-cache-stitcher/releases/download/v1.1/RdpCacheStitcher-v1.1-linux64
chmod +x RdpCacheStitcher-v1.1-linux64
./RdpCacheStitcher-v1.1-linux64
Paso 4: Revisar los mapas de bits extraídos
Después de la extracción y la unión, revise las imágenes de mapa de bits. Busque elementos reconocibles como ventanas de aplicaciones, archivos abiertos o solicitudes de comandos que puedan indicar las acciones realizadas durante la sesión RDP.
Por ejemplo, puede encontrar mapas de bits que muestren
- Una ventana del explorador de archivos con archivos sensibles abiertos.
- Un símbolo del sistema con comandos ejecutados.
- Una ventana del navegador abierta mostrando un sitio web específico o una aplicación interna.
El siguiente ejemplo muestra la reconstrucción de la línea de comandos ejecutada durante la sesión RDP
Paso 5: Correlacionar los resultados con otras pruebas
Correlacione los hallazgos de las imágenes de mapa de bits con otras pruebas como registros RDP, registros de eventos y tráfico de red. Esta correlación puede ayudar a confirmar la cronología de la actividad no autorizada y proporcionar una imagen más clara de lo que ocurrió durante la sesión RDP.
Conclusión
El análisis forense de mapas de bits RDP es una técnica poderosa pero a menudo ignorada en las investigaciones DFIR. Analizando cuidadosamente los archivos caché de mapa de bits, los investigadores pueden recuperar restos visuales de las actividades de un usuario en un escritorio remoto. Esta información puede ser crucial para comprender el acceso no autorizado y las acciones realizadas durante una sesión RDP. Como se demuestra en nuestro ejemplo práctico, el aprovechamiento de la ciencia forense de mapas de bits puede mejorar significativamente sus capacidades de investigación y ayudar a descubrir pruebas críticas, especialmente en escenarios de movimiento lateral.
Fuentes:
https://medium.com/@egycondor/rdp-bitmap-forensics-for-dfir-investigations-f4f627431275
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.