Análisis forense de una amenaza interna en Linux mediante correlación de artefactos
1. Introducción
El análisis forense en sistemas Linux se fundamenta en la correlación de artefactos heterogéneos distribuidos a lo largo del sistema. A diferencia de entornos con telemetría centralizada, la reconstrucción de incidentes depende de la interpretación contextual de logs, historiales de comandos y estructuras del sistema de archivos.
En este caso, se parte de una imagen forense adquirida tras la detección de actividad anómala asociada a un usuario interno con privilegios elevados.
No existen alertas concluyentes ni indicadores directos de compromiso.
El análisis se basa exclusivamente en evidencia persistente.
El objetivo es reconstruir la actividad del usuario, identificar comportamientos maliciosos y determinar el alcance del incidente.
2. Contexto del incidente
La investigación se inicia a partir de una sospecha de comportamiento indebido por parte de un usuario con acceso al sistema.
Se dispone de una imagen forense en formato AD1, lo que implica un análisis offline sin interacción directa con el sistema original.
El enfoque metodológico se estructura en:
- Enumeración de artefactos del sistema
- Análisis de logs críticos
- Correlación de actividad en
.bash_history - Identificación de herramientas y técnicas utilizadas
- Reconstrucción de la línea temporal
Este enfoque permite transformar indicadores débiles en una narrativa completa del incidente.
3. Identificación del entorno operativo
La identificación del sistema es clave para contextualizar herramientas y comportamiento del usuario.
Ruta analizada:
/var/log/kern.log
Evidencia 1: fingerprint del sistema

El análisis del log del kernel permite identificar:
- Distribución: Kali Linux
Análisis
Kali Linux es una distribución orientada a pruebas de penetración y seguridad ofensiva. Su presencia en un entorno corporativo no controlado constituye un indicador relevante.
Conclusión
El entorno ya estaba preparado con tooling ofensivo, lo que reduce significativamente la fricción para la ejecución de actividades maliciosas.
4. Análisis de superficie de servicios
Se evalúa la actividad del servicio Apache como posible vector de exposición.
Ruta:
/var/log/apache2/access.log
Evidencia 2: ausencia de actividad en access.log


El archivo no contiene registros.
Análisis
- No existen conexiones HTTP registradas
- No hay evidencia de uso del servicio
- Se descarta Apache como vector de entrada o actividad relevante
Conclusión
El incidente no está relacionado con exposición de servicios web.
5. Identificación de artefactos ofensivos
Se inspeccionan rutas típicas de almacenamiento de herramientas.
Ruta:
/root/Downloads
Evidencia 3: herramienta de credential dumping

Archivo identificado:
mimikatz_trunk.zip
Análisis
Mimikatz es una herramienta ampliamente utilizada para:
- Extracción de credenciales en memoria
- Abuso de mecanismos de autenticación
- Movimiento lateral
Su presencia en el sistema implica intención clara de acceso a credenciales.
Conclusión
Se confirma actividad orientada a post-explotación.
6. Análisis de comportamiento del usuario
El artefacto más relevante en sistemas Linux para reconstrucción de actividad interactiva es:
/root/.bash_history
Evidencia 4: creación manual de archivo

Comando identificado:
touch /root/Desktop/SuperSecretFile.txt
Análisis
- Acción manual ejecutada por el usuario
- Creación de artefacto fuera de flujos automatizados
Conclusión
Existe intervención directa del usuario con intención de generar contenido específico.
7. Uso de herramientas de análisis binario
Evidencia 5: ejecución de Binwalk sobre archivo JPG

Archivo:
didyouthinkwedmakeiteasy.jpg
Herramienta:
binwalk
Análisis
Binwalk se utiliza para:
- Identificación de payloads embebidos
- Análisis de firmware o archivos manipulados
- Detección de técnicas de ocultación
Conclusión
El usuario estaba realizando análisis activo de artefactos, posiblemente buscando o validando contenido oculto.
8. Evidencia de planificación
Ruta:
/root/Desktop
Evidencia 6: archivo de checklist

Archivo:
Checklist
Análisis
El contenido refleja:
- Objetivos definidos
- Secuencia de acciones
- Intencionalidad estructurada
Conclusión
El incidente no es oportunista. Existe planificación previa.
9. Evidencia de interacción con sistemas externos
Evidencia 7: archivo gráfico con contenido sensible

Archivo:
irZLAohL.jpeg
Análisis
La imagen contiene evidencia visual de acceso a otro sistema.
Indicadores:
- Contexto de escritorio externo
- Interacción con entorno distinto al sistema analizado
Conclusión
El sistema fue utilizado como plataforma de acceso a terceros.
10. Análisis de scripts y comunicación
Ruta:
/root/Documents
Evidencia 8: script con contenido incrustado

Archivo:
firstscript_fixed
Fragmento relevante:
echo "Heck yeah! I can write bash too Young"
Análisis
- Script funcional con lógica básica
- Inclusión de mensaje dirigido
Conclusión
Existe interacción indirecta con otro actor (“Young”), lo que sugiere contexto colaborativo o competitivo.
11. Escalada de privilegios
Ruta:
/var/log/auth.log
Evidencia 9: uso reiterado de `su

Usuario identificado:
postgres
Análisis
- Múltiples intentos de elevación de privilegios
- Uso explícito de mecanismos de autenticación
Conclusión
Se confirma intento activo de escalada de privilegios dentro del sistema.
12. Contexto operativo
Evidencia 10: directorio de trabajo principal

Ruta:
/root/Documents/myfirsthack
Análisis
- Concentración de actividad
- Presencia de scripts y herramientas
- Punto central de ejecución
Conclusión
Este directorio actúa como workspace del atacante.
13. Reconstrucción del incidente
La correlación de artefactos permite establecer una secuencia coherente:
- Acceso inicial al sistema (vector no determinado)
- Uso de entorno Kali Linux preconfigurado
- Descarga de herramientas ofensivas (Mimikatz)
- Ejecución de comandos manuales
- Análisis de archivos mediante Binwalk
- Creación de artefactos propios
- Ejecución de scripts personalizados
- Intentos de escalada de privilegios
- Interacción con sistemas externos
14. Conclusiones técnicas
- El incidente corresponde a una amenaza interna
- Existe uso explícito de tooling ofensivo
- Se identifican actividades de post-explotación
- Hay evidencia de interacción con terceros sistemas
- No se observan mecanismos avanzados de evasión o persistencia
El comportamiento es consistente con un atacante manual con conocimientos técnicos intermedios.
15. Lecciones aprendidas
.bash_historyes un artefacto crítico en análisis DFIR- Los logs de autenticación permiten detectar abuso de privilegios
- La presencia de herramientas ofensivas debe considerarse indicador de riesgo
- La correlación de artefactos sigue siendo esencial en Linux
16. Cierre
Este caso pone de manifiesto que la complejidad no es un requisito para comprometer un sistema.
Un entorno preparado, herramientas accesibles y conocimiento básico son suficientes para ejecutar acciones maliciosas.
En ausencia de detección activa, la única defensa real es la capacidad de análisis.
Y en Linux, esa capacidad depende directamente de entender los artefactos.
