Secret Recipe - TryHackMe Write-up: análisis forense del registro y hallazgos
Resumen del caso: Jasmine propietaria del famoso café Coffely guardaba la receta secreta en su portátil de trabajo. James del departamento de TI fue consultado para reparar el equipo y existe la sospecha de que pudo copiar la receta en su propio equipo. Se incautó el equipo de James y se extrajeron artefactos del registro para su análisis.
Conexión al laboratorio: la práctica se realizó en la sala de TryHackMe llamada registry4n6 donde se disponía de las copias de los hives del registro para investigar manualmente con Registry Explorer.
Resultados clave encontrados en los hives examinados
Cuántos archivos hay en la carpeta Artefacts en el Escritorio 6
Nombre del equipo encontrado en el registro James
Fecha de creación de la cuenta Administrator 2021-03-17 14:58:48
RID asociado a Administrator 500
Cantidad de cuentas de usuario observadas en la máquina 7
Cuenta sospechosa con RID 1013 bdoor
Conexión VPN utilizada por el host ProtonVPN
Primera conexión VPN observada 2022-10-12 19:52:36
Tercer recurso compartido observado en el equipo RESTRICTED FILES
Última IP DHCP asignada al host 172.31.2.197
Nombre del archivo que contiene la receta secreta accedido por el sospechoso secret-recipe.pdf
Comando ejecutado desde Ejecutar para enumerar interfaces de red pnputil /enum-interfaces
Herramienta de utilidad de red buscada en el explorador de archivos netcat
Archivo de texto reciente abierto por el sospechoso secret-code.txt
Veces que se ejecutó PowerShell en el host 3
Herramienta de monitorización de red ejecutada Wireshark
Tiempo en segundos que ProtonVPN estuvo en foco según Hives 343
Ruta completa desde la que se ejecutó Everything.exe C:/Users/Administrator/Downloads/tools/Everything/Everything.exe
Metodología empleada: se cargaron los archivos SYSTEM SAM y SOFTWARE en Registry Explorer. En SYSTEM se consultó CurrentControlSet para obtener ComputerName y las interfaces Tcpip para direcciones DHCP. En SAM se analizaron Domains Account Users para extraer información de cuentas y fechas de creación. En SOFTWARE se localizó NetworkList y UserAssist para detectar conexiones VPN y evidencias de ejecución de aplicaciones. También se revisaron las claves RecentDocs WordWheelQuery TypedPaths y RunMRU para reconstruir actividades de usuario y comandos ejecutados.
Conclusión investigativa: el análisis del registro revela actividad sospechosa consistente con exfiltración manual de archivos. Se encontraron referencias a la receta secreta en recent documents y herramientas instaladas para transferencia de archivos y monitorización de red. La existencia de la cuenta bdoor con RID 1013 sugiere una puerta trasera local que debe ser investigada y remediada.
Sobre Q2BSTUDIO: en Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones tecnológicas avanzadas. Ofrecemos software a medida e inteligencia artificial aplicada a empresas, implementaciones de agentes IA y servicios de ciberseguridad diseñados para proteger activos críticos. Nuestros servicios incluyen desarrollo de aplicaciones a medida, integración cloud en AWS y Azure, servicios de inteligencia de negocio y consultoría en Power BI para transformar datos en decisiones. Diseñamos IA para empresas que automatizan procesos y mejoran la detección de amenazas, además de ofrecer auditorías de ciberseguridad, respuesta a incidentes y soluciones de seguridad gestionada. Si buscas software a medida, aplicaciones a medida, servicios cloud aws y azure, inteligencia artificial, ciberseguridad, servicios inteligencia de negocio, agentes IA o power bi contamos con la experiencia para impulsar tu negocio.
Palabras clave para posicionamiento SEO integradas en el contenido: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.
Recomendaciones finales: preservar la cadena de custodia de los artefactos originales, ampliar el análisis forense a imágenes de disco completas, auditar la creación y permisos de la cuenta bdoor, revisar logs de red para detectar transferencias hacia ProtonVPN y aplicar medidas de contención y recuperación en los sistemas afectados.