Curiosidades De Hackers
CSIRTDFIRForense Digital

Análisis DFIR de acceso remoto, exfiltración de datos y eliminación de evidencias


Introducción

Las herramientas de acceso remoto forman parte esencial de la administración moderna de sistemas. Soluciones como TeamViewer permiten a administradores gestionar estaciones de trabajo y servidores a distancia, facilitando tareas de soporte técnico y mantenimiento.

Sin embargo, cuando un atacante obtiene acceso a estas herramientas —ya sea mediante credenciales comprometidas o configuraciones inseguras— puede utilizarlas para interactuar directamente con el sistema víctima sin desplegar malware adicional.

Este tipo de abuso de software legítimo se enmarca dentro de la categoría Living-off-the-Land (LotL), donde el adversario aprovecha herramientas nativas o autorizadas para minimizar la detección.

En el escenario analizado, un empleado reportó actividad sospechosa en su equipo: aplicaciones abriéndose automáticamente y movimiento del cursor sin interacción del usuario. La investigación posterior reveló que el sistema estaba siendo accedido de forma remota mediante TeamViewer.

El objetivo del análisis forense fue determinar:

  • quién accedió al sistema
  • cuándo ocurrió la intrusión
  • qué acciones realizó el atacante
  • si se produjo robo o eliminación de información

A partir del análisis de logs de TeamViewer, historial de PowerShell y artefactos del sistema de archivos NTFS, fue posible reconstruir la actividad completa del adversario.

1. Identificación de conexiones remotas de TeamViewer

El primer punto de pivote en la investigación fue el directorio de instalación de TeamViewer:

Dentro de este directorio se encuentra el archivo:

Este archivo registra las sesiones entrantes establecidas hacia el sistema.

📷 Evidencia

El archivo contiene registros básicos de conexiones, incluyendo:

  • ID del cliente TeamViewer
  • nombre del usuario remoto
  • timestamp de inicio y fin de la sesión

Según la documentación del software, este log representa un historial simplificado de conexiones entrantes y constituye uno de los primeros artefactos a revisar durante investigaciones relacionadas con acceso remoto.

El contenido del archivo muestra:

De este registro se obtiene la siguiente información:

CampoValor
TeamViewer ID565955529
Usuario remotoa1l4m
Equipo víctimammox
Tipo de conexiónRemoteControl

El log revela dos conexiones consecutivas desde el mismo usuario.

La segunda sesión presenta una duración significativamente mayor, por lo que se priorizó su análisis.

2. Análisis del logfile técnico de TeamViewer

Aunque el archivo Connections_incoming.txt proporciona una visión inicial del incidente, no contiene suficiente granularidad temporal para reconstruir la actividad completa.

Para ello se analiza el archivo:

Este logfile contiene eventos detallados generados por la aplicación durante la negociación, autenticación y establecimiento de sesiones remotas.

📷 Evidencia

Entre los eventos observados se identifica:

Este registro indica que el sistema aceptó una sesión de control remoto entrante.

También se observa el evento:

Este evento confirma que el atacante obtuvo acceso interactivo al escritorio del sistema.

3. Identificación del primer acceso del atacante

El logfile permite identificar el momento exacto en el que se estableció la primera conexión remota.

📷 Evidencia

Registro clave:

Timestamp asociado:

Este valor coincide con el timestamp requerido en el desafío y representa el primer acceso exitoso del intruso al sistema comprometido. (Medium)

4. Identificación de la sesión principal del ataque

El atacante se conecta nuevamente pocos segundos después.

📷 Evidencia

Registro relevante:

La presencia del identificador de sesión permite correlacionar eventos posteriores asociados a la misma conexión.

Esta sesión corresponde al período durante el cual el atacante ejecutó la mayoría de las acciones dentro del sistema.

5. Finalización de la sesión remota

El final de la sesión también queda registrado en el logfile.

📷 Evidencia

Evento relevante:

Timestamp:

Este registro marca el momento en que el atacante finalizó la conexión.

6. Duración total de la intrusión

Para determinar la duración real de la sesión se correlacionan los timestamps del logfile.

Inicio:

Fin:

📷 Evidencia

Duración calculada:

Aunque breve, una sesión interactiva de diez minutos proporciona tiempo suficiente para:

  • explorar el sistema
  • recopilar información
  • transferir archivos sensibles

7. Análisis del historial de PowerShell

Una vez confirmada la sesión remota, el siguiente paso consistió en revisar artefactos que pudieran revelar acciones ejecutadas por el atacante.

Un artefacto particularmente útil es el historial de comandos de PowerShell PSReadline.

Ubicación:

Archivo:

📷 Evidencia

Este archivo registra los comandos ejecutados en sesiones interactivas de PowerShell.

7.1 Compresión de información confidencial

Entre los comandos observados se identifica:

Este comando indica que el atacante comprimió el contenido de la carpeta:

La compresión de datos antes de la exfiltración es una práctica común para:

  • agrupar múltiples archivos
  • reducir tamaño de transferencia
  • simplificar el proceso de robo de información

7.2 Exfiltración de datos

Posteriormente se identifican comandos de transferencia de archivos:

y

📷 Evidencia

Estos comandos indican que el archivo comprimido fue transferido hacia un servidor remoto.

Dirección IP utilizada:

Esto confirma la exfiltración de información sensible desde el sistema comprometido.

8. Análisis del USN Journal

Para identificar modificaciones en el sistema de archivos se analizó el USN Journal, un registro interno del sistema de archivos NTFS que almacena cambios en archivos y directorios.

El artefacto fue procesado mediante la herramienta forense:

Comando utilizado:

📷 Evidencia

El procesamiento generó una línea temporal con:

9. Reconstrucción de actividad con Timeline Explorer

El archivo CSV generado fue analizado mediante Timeline Explorer, otra herramienta del conjunto de utilidades de Eric Zimmerman.

📷 Evidencia

Filtrando por el directorio:

se identificaron múltiples eventos relacionados con documentos sensibles.

Entre ellos:

Este hallazgo confirma que el directorio previamente comprimido contenía información confidencial.

10. Eliminación de archivos por parte del atacante

El análisis del USN Journal también revela eventos de eliminación de archivos.

📷 Evidencia

Archivos eliminados:

Timestamp:

Esto sugiere que el atacante eliminó los archivos tras completar la exfiltración, probablemente para reducir evidencias locales de la actividad maliciosa. (Medium)

Línea temporal del ataque

HoraEvento
04:34:16Primera conexión TeamViewer
04:35:03Inicio de sesión principal
04:35Compresión de archivos
04:40Exfiltración de datos
04:42Eliminación de archivos
04:45Fin de la sesión

Conclusión

El análisis forense permitió reconstruir una intrusión realizada mediante acceso remoto a través de TeamViewer, seguida de robo y eliminación de información sensible.

Principales hallazgos:

  • acceso remoto mediante TeamViewer
  • usuario atacante a1l4m
  • ID de TeamViewer 565955529
  • duración de sesión aproximada 10 minutos
  • compresión de archivos del directorio Confidential
  • exfiltración hacia 116.203.186.178
  • eliminación posterior de evidencias

Este caso demuestra cómo el análisis correlacionado de múltiples artefactos —incluyendo logs de aplicaciones, historial de comandos y registros del sistema de archivos— permite reconstruir con precisión la actividad de un atacante incluso cuando se utilizan herramientas legítimas del sistema.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *