Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
152
)
-
▼
enero
(Total:
152
)
-
Facebook bloquea cualquier tema de Linux de Distro...
-
Ramsomware Makop y Lynx
-
NVIDIA pide explicaciones a Super Micro por vender...
-
Investigadores canadienses afirman que un ajuste d...
-
Vulnerabilidad crítica en Cacti (SNMP)
-
FARM discos duros Seagate
-
DeepSeek habría sido entrenada con datos robados a...
-
Alibaba presenta Qwen2.5-Max, su poderosa IA
-
Huawei dice tener un chip para IA igual de potente...
-
El fabricante de móviles Oppo es víctima de una gr...
-
DeepSeek puede crear malware para robar tarjetas d...
-
Historia del fabricante Asus
-
Instalar DeepSeek (destilado) con Ollama en tu ord...
-
Lossless Scaling: ¿Qué es y cómo funciona?
-
Una hora de anuncios para ver un simple vídeo de Y...
-
Herramientas gratuitas para transcribir de audio a...
-
OpenAI Operator: el agente de IA que automatiza ta...
-
DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
-
DeepSeek es víctima de un ataque DDoS
-
NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
-
Sony abandona los discos Blu-Ray grabables, MiniDi...
-
Vulnerabilidad en el framework Llama Stack de Meta...
-
PayPal pagará 2 millones de dólares por la filtrac...
-
DeepSeek, la herramienta china que revoluciona la ...
-
119 vulnerabilidades de seguridad en implementacio...
-
Cómo bloquear y demorar bots IA de Scraping web
-
Oracle, en negociaciones con ByteDance para compra...
-
Descubren que Elon Musk hacía trampas en los juego...
-
Por ser cliente de Movistar en España tienes grati...
-
HDMI 2.2 VS DisplayPort 2.1
-
Filtrados datos personales de asegurados de Asisa
-
Los fallos que cometió Ulbricht para ser detenido:...
-
Instagram desata las críticas de los usuarios espa...
-
Donald Trump indulta a Ross Ulbricht, creador del ...
-
Alia, la IA del Gobierno Español, es un desastre: ...
-
Stargate, un proyecto de Estados Unidos para inver...
-
Ataques del ransomware BlackBasta mediante Microso...
-
El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
-
Tras el éxito de Doom en documentos PDF, ahora tam...
-
Cae una banda de ciberestafadores que enviaba hast...
-
Cómo desactivar el Antimalware Service Executable ...
-
Herramienta Restablecer Windows
-
Seagate llega a los 36 TB con sus nuevos discos du...
-
YST (‘Yo soy tú’, como se autodenominó irónicament...
-
¿Qué es la pipeline?
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya permite la búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
-
▼
enero
(Total:
152
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Cómo instalar DeepSeek en tu ordenador , para poder utilizarlo cuando quieras. Hay varias maneras de hacerlo, pero nosotros vamos a intentar... -
Primero llegó a través de los clientes de Movistar con un deco UHD, pero a partir de hoy, tienen la oportunidad de tener gratis durante 12 ... -
Si eres un usuario de Windows 10 y tu dispositivo está trabajando lento, entonces, es el antimalware service executable que tiene un consum...
RDP Bitmap Forensics para investigaciones DFIR
RDP Bitmap Forensics for DFIR InvestigationsRemote Desktop Protocol (RDP) es un protocolo ampliamente utilizado que permite a los usuarios conectarse remotamente y controlar otros ordenadores. Por muy cómodo que sea, el RDP también presenta retos y oportunidades únicos para los profesionales de la investigación forense digital y la respuesta a incidentes (DFIR). Uno de los aspectos menos conocidos pero valiosos del análisis forense de RDP implica el examen de los archivos caché de mapa de bits. En este post, exploraremos lo que implica el análisis forense de mapas de bits RDP y proporcionaremos un ejemplo práctico de cómo aprovechar esta técnica en una investigación DFIR.
Entendiendo la caché de mapa de bits RDP
Cuando los usuarios se conectan a un escritorio remoto, RDP optimiza la conexión almacenando en caché imágenes de la pantalla, incluyendo iconos, bordes de ventanas y otros elementos gráficos, para reducir el uso de ancho de banda y mejorar el rendimiento. Estas imágenes en caché, o mapas de bits, se almacenan en archivos en la máquina cliente. Al examinar estos archivos de caché de mapa de bits, los investigadores forenses pueden recuperar restos de lo que se mostraba en el escritorio remoto, lo que ofrece información valiosa sobre las actividades del usuario.
Ubicaciones clave de los archivos caché de mapa de bits
Los archivos de caché de mapa de bits suelen almacenarse en las siguientes ubicaciones de un sistema Windows:
Windows XP y anteriores:
C:\Documents and Settings\{username}\Local Settings\Application Data\Microsoft\Terminal Server Client\Cache
Windows Vista y posteriores:
C:\Users\{username}\AppData\Local\Microsoft\Terminal Server Client\Cache
Estos archivos suelen tener nombres como cache000.bin, cache001.bin, etc.
Análisis forense de mapas de bits RDP en escenarios de movimiento lateral
La caché de mapa de bits RDP es particularmente útil para investigar escenarios de movimiento lateral ya que el análisis se realiza en el lado del cliente RDP. Esto significa que incluso si el atacante borra los registros y otras pruebas en el servidor remoto, los artefactos forenses todavía se pueden recuperar de la máquina cliente utilizada para acceder al escritorio remoto.
Ejemplo práctico: Aprovechamiento del mapa de bits RDP en una investigación
Veamos un ejemplo práctico para demostrar cómo se puede utilizar el análisis forense del mapa de bits RDP en una investigación DFIR.
Escenario: Investigando un Acceso No Autorizado
Suponga que su organización sospecha que un usuario no autorizado accedió a un servidor crítico a través de RDP. Ya ha identificado el marco temporal de la actividad sospechosa. Su objetivo es determinar qué acciones realizó el usuario no autorizado durante la sesión RDP.
Paso 1: Identificar y recopilar archivos de caché de mapa de bits
En primer lugar, recopile los archivos de caché de mapa de bits del equipo cliente sospechoso. Estos archivos suelen encontrarse en el directorio de caché mencionado anteriormente. Copie estos archivos en su estación de trabajo forense para analizarlos.
Paso 2: Analizar los archivos caché de mapa de bits
Existen varias herramientas que pueden ayudarle a analizar los archivos caché de mapa de bits. En este caso, utilizaremos BMC-Tool para extraer las imágenes de mapa de bits y RDP Cache Stitcher para reconstruir la caché.
Extraer mapas de bits con BMC-Tool:
git clone https://github.com/ANSSI-FR/bmc-tools.git
cd bmc-tools
./bmc-tools.py -s cache0000 -d cache0000_output -b
Paso 3: Unir los mapas de bits
La salida de BMC-Tool será en forma de mosaicos fragmentados. Para unir estos mosaicos, utilizaremos RDP Cache Stitcher.
Descarga y ejecuta RDP Cache Stitcher:
wget https://github.com/example/rdp-cache-stitcher/releases/download/v1.1/RdpCacheStitcher-v1.1-linux64
chmod +x RdpCacheStitcher-v1.1-linux64
./RdpCacheStitcher-v1.1-linux64
Paso 4: Revisar los mapas de bits extraídos
Después de la extracción y la unión, revise las imágenes de mapa de bits. Busque elementos reconocibles como ventanas de aplicaciones, archivos abiertos o solicitudes de comandos que puedan indicar las acciones realizadas durante la sesión RDP.
Por ejemplo, puede encontrar mapas de bits que muestren
- Una ventana del explorador de archivos con archivos sensibles abiertos.
- Un símbolo del sistema con comandos ejecutados.
- Una ventana del navegador abierta mostrando un sitio web específico o una aplicación interna.
El siguiente ejemplo muestra la reconstrucción de la línea de comandos ejecutada durante la sesión RDP
Paso 5: Correlacionar los resultados con otras pruebas
Correlacione los hallazgos de las imágenes de mapa de bits con otras pruebas como registros RDP, registros de eventos y tráfico de red. Esta correlación puede ayudar a confirmar la cronología de la actividad no autorizada y proporcionar una imagen más clara de lo que ocurrió durante la sesión RDP.
Conclusión
El análisis forense de mapas de bits RDP es una técnica poderosa pero a menudo ignorada en las investigaciones DFIR. Analizando cuidadosamente los archivos caché de mapa de bits, los investigadores pueden recuperar restos visuales de las actividades de un usuario en un escritorio remoto. Esta información puede ser crucial para comprender el acceso no autorizado y las acciones realizadas durante una sesión RDP. Como se demuestra en nuestro ejemplo práctico, el aprovechamiento de la ciencia forense de mapas de bits puede mejorar significativamente sus capacidades de investigación y ayudar a descubrir pruebas críticas, especialmente en escenarios de movimiento lateral.
Fuentes:
https://medium.com/@egycondor/rdp-bitmap-forensics-for-dfir-investigations-f4f627431275
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.