Curiosidades De Hackers
CSIRTDFIRForense Digital

Reconstrucción de una intrusión en Windows a partir de la $MFT: análisis forense basado exclusivamente en metadatos NTFS


Introducción

En investigaciones forenses digitales modernas, los analistas suelen apoyarse en múltiples fuentes de evidencia: registros del sistema, artefactos de memoria, telemetría EDR o datos de red. Sin embargo, existen escenarios en los que la disponibilidad de artefactos es extremadamente limitada y obliga a replantear el enfoque metodológico.

Este artículo presenta el análisis de un servidor Windows comprometido utilizado como jump server administrativo, donde el único artefacto disponible fue la tabla maestra de archivos (Master File Table — $MFT) del volumen NTFS.

A pesar de la ausencia de logs, memoria o imagen completa del disco, el análisis detallado del MFT permitió reconstruir una cadena de ataque coherente, identificar el vector inicial y comprender el objetivo operativo del adversario.

1. El $MFT como fuente forense primaria

El $MFT constituye el núcleo estructural del sistema de archivos NTFS. Cada archivo o directorio posee una entrada que puede contener múltiples atributos, entre ellos:

  • $STANDARD_INFORMATION — timestamps principales.
  • $FILE_NAME — nombres y rutas.
  • $DATA — contenido del archivo (residentes o no residentes).
  • Alternate Data Streams (ADS), incluyendo información Mark-of-the-Web (MoTW).

Desde una perspectiva DFIR, esto implica que el MFT puede ofrecer visibilidad suficiente para reconstruir actividad histórica incluso cuando los archivos originales ya no están presentes.

2. Pivot inicial: análisis del directorio Downloads

Tras cargar el archivo $MFT en MFTExplorer, el análisis comenzó identificando ubicaciones con alta probabilidad de interacción humana. El directorio Downloads suele representar un punto clave en investigaciones reales debido a su relación directa con descargas manuales.

Entre los artefactos observados destacan:

  • scanner98.zip
  • x.ps1

La coexistencia de un archivo comprimido descargado junto a un script PowerShell en la misma ubicación constituye un patrón recurrente en intrusiones modernas, donde el archivo comprimido actúa como vector inicial y el script como mecanismo de ejecución.

3. Identificación del vector de entrega

El archivo scanner98.zip se priorizó como artefacto inicial debido a:

  • formato ZIP (frecuentemente utilizado para encapsular payloads),
  • ubicación en Downloads,
  • correlación temporal con artefactos posteriores.

3.1 Evidencia de Mark-of-the-Web (MoTW)

El atributo $DATA del archivo revela la presencia de un Alternate Data Stream asociado a Zone.Identifier.

El campo:

confirma que el archivo fue descargado desde Internet.

Este hallazgo tiene implicaciones relevantes:

  • evidencia directa del origen externo del archivo,
  • ausencia de necesidad de logs de navegador para inferir procedencia,
  • utilización de infraestructura legítima como vector de distribución.

4. Reconstrucción temporal

El atributo $STANDARD_INFORMATION muestra:

Este timestamp establece el punto de inicio probable del incidente dentro del sistema.

La comparación entre timestamps SI y FN puede revelar intentos de timestomping; en este caso no se observan discrepancias evidentes.

5. Aparición del script PowerShell

Posteriormente se identifica el archivo:

La proximidad temporal con la descarga del ZIP sugiere una relación causal directa, consistente con extracción o ejecución de componentes contenidos en el archivo comprimido.

6. Recuperación del contenido desde el propio MFT

Uno de los hallazgos más relevantes del análisis es que el atributo $DATA del script indica:

Esto significa que el contenido del script se encuentra almacenado dentro del propio registro MFT.

Desde un punto de vista forense, los datos residentes representan una ventaja significativa, ya que permiten recuperar el contenido del archivo incluso en escenarios donde el artefacto original ha sido eliminado.

6.1 Análisis del contenido recuperado

El contenido extraído revela:

Este patrón corresponde a técnicas living-off-the-land, donde se utilizan herramientas nativas del sistema para descargar y ejecutar código de forma dinámica, minimizando huellas persistentes.

7. Infraestructura externa identificada

La URL observada apunta a:

Esto indica:

  • uso del framework Nishang,
  • descarga de módulo de keylogging,
  • intención clara de captura de credenciales.

8. Técnica MITRE ATT&CK

El comportamiento observado se alinea con:

Dado que el sistema analizado era un jump server administrativo, el objetivo probable es la recolección de credenciales privilegiadas para movimiento lateral o persistencia futura.

9. Cadena de ataque inferida

Basado exclusivamente en artefactos presentes en el MFT:

  1. Descarga de scanner98.zip desde Google Drive.
  2. Escritura en el directorio Downloads.
  3. Generación del script x.ps1.
  4. Ejecución de PowerShell utilizando Invoke-Expression.
  5. Descarga dinámica de payload desde GitHub.
  6. Implementación de keylogger.

Conclusión

Este caso demuestra que la Master File Table puede constituir una fuente forense suficiente para reconstruir una intrusión incluso en ausencia de otras evidencias tradicionales.

El análisis del $MFT permitió:

  • identificar el vector inicial,
  • determinar el origen de descarga mediante MoTW,
  • recuperar contenido ejecutado desde DATA residente,
  • inferir la intención operativa del adversario.

Lejos de ser únicamente una estructura de metadata, el $MFT representa una cronología detallada de actividad del sistema cuando se analiza con una metodología adecuada.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *