DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 26 de marzo de 2013

Lo que la mentira esconde. El caso de María.


Hola lectores,

Hoy vamos a ver como la tabla maestra de archivos en un sistema NTFS nos ha ayudado a identificar y obtener evidencias en un posible fraude cometido por una persona.

El caso es el siguiente, María afronta una pena de dos años y medio por un delito de falsificación en documento mercantil, falsificación de informes a diversas empresas, en la elaboración de estudios sobre la contaminación del suelo y también por la eliminación masiva de pruebas (ficheros financieros), todo ello tras una demanda por colaboración junto a un grupo de empresas en fraude continuado, por un importe defraudado en torno a 1.330.000 euros.

En la prueba pericial y posterior análisis forense encontramos las siguientes conclusiones, al parecer María había falsificado y eliminado de forma continuada informes y cambiado la fecha de estos, pero ¿como hemos llegado a estas conclusiones?, ¿como averiguamos los cambios que hizo María?,¿que falsifico?, ¿porque lo hizo?. Bueno esta última pregunta no creo que sea capaz de obtener respuesta, aunque lo obvio es que sea   por dinero.

Para remontarnos a las pruebas y evidencias hemos de hablar del modo de funcionamiento del sistema de archivos NTFS y mas correctamente de la tabla de sistema de archivos (MFT) y del sistema de registros  de cambios o mas conocido en el mundo *nix como 'Journal'.

MASTER FILE TABLE -MFT

La Master File Table viene a ser una especie de base de datos o tabla que gestiona y almacena los ficheros de una unidad o disco y este contiene información relativa a su tamaño, propiedades, atributos, localización, etc. Dispone de una entrada de índice y cuando buscamos un fichero lo consulta a la MFT para obtener información del mismo.

La estructura de archivos viene resumida en esta tabla que he preparado a tal efecto:


En resumen, la tabla maestra contiene la estructura y toda la información acerca de un archivo, incluyendo su tamaño, fecha, hora y permisos y contenido de los datos.

$UsnJrnl

En la MFT hay un componente conocido como 'Journal' llamado '$UsnJrnl'  que cuando está activado, registra las modificaciones que se producen en los archivos. Este se encuentra dentro de '$Extend' en  la entrada MFT.

Entrada $MFT vista desde la herramienta Autopsy


Journal visto desde Autopsy

En el fichero Journal se registrarán, entre otras cosas:
  • Fecha de modificación 
  • Motivo del cambio 
  • Archivo / nombre de directorio 
  • Archivo / directorio y sus atributos 
  • Archivo / directorios y número de registro MFT 
  • Número de archivo de registro de directorio principal del archivo 
  • ID de Seguridad 
  • Número de actualización y número de secuencia del registro 
  • Información sobre el origen de los cambios 
Lo curioso del tema es que viene activado por defecto en Windows 7 y 8, no siendo así de forma predeterminada en Windows XP.  Por lo tanto la revisión de '$UsnJrnl' se me antoja una pieza clave a la hora de realizar un análisis forense ya que podemos encontrar piezas complejas, como por ejemplo que nos hayan realizado un anti-forensics por medio de un malware o bien obtener toda una lista y  linea de tiempo con sus ficheros y modificaciones.

Llegados a este punto, lo interesante es como exportar la tabla maestra para obtener la información o bien que utilidades podemos utilizar para acceder a ella.

¿COMO ACCEDO A LA INFORMACIÓN DE LA MFT?

Existen varios procedimientos para obtener la información de forma lineal. Al final utilizamos tres herramientas que nos parecieron muy interesantes.

TSK

El Sleuth Kit (TSK) es una conocida colección de herramientas forenses en línea de comando para * nix y windows, permite analizar los sistemas de archivos más comunes. La mejor forma de trabajar con ella es utilizando un archivo imagen en formato DD. Nosotros como teníamos el sistema en vivo y también clonado pudimos aplicar ambas métodos.


#  Fls -f  ntfs -r casomaria.dd | grep sistema contable.xls
+ + R / r 1618-128-1:sistema contable.xls


Esto devuelve el número de registros de $MFT que corresponde a 1618. Con el uso de "icat" ahora podemos hacer 'carving' de la entrada de $MFT.

# Icat -f  ntfs casomaria.dd 0 | dd bs = 1024 skip = 1618 count = 1 | xxd

Otra forma mas cómoda es volcar toda la tabla MFT directamente.

 icat casomaria.dd 0> MFTsalida.csv

Una vez que tenemos la $MFT podemos utilizar estos scripts realizados en Python analyzeMFT.py  de David Kovar para analizar todos los registros en formato csv.

analyzeMFT.py -f  MFT -o -un  MFTsalida.csv

WINDOWS JOURNAL PARSER (JP)

JP es una utilidad en línea de comandos para analizar el  Journal. Su uso es sencillo y para mi es uno de los mejores actualmente. El problema es que no permite su uso en modo profesional. No obstante decidimos probarlo y compararlo con otras herramientas.

Para utilizarlo en el caso de Maria pusimos el siguiente comando:

c:\jp>jp.exe -partition c > salida.txt

El resultado es conciso y revelador dado que nos indica que ocurrió con  un fichero o directorio.

En la siguiente muestra se ha truncado los datos con objeto de que veamos parte del resultado.


MFT Parser

Es otra de las utilidades perfectas que dispone de entorno gráfico y modo de comando para entorno Windows, se puede descargar desde aquí o bien desde su URL.

Al igual que 'jp' permite obtener un 'timeline' de los ficheros y directorios del journal, pudiendo exportar desde el entorno gráfico a fichero CSV. Permite filtrado por fechas y propiedades de los ficheros. Muy útil.


MFT2CSV

Esta herramienta esta desarrollada en AutoIT (un lenguaje de scripting basado en Basic) y que al igual que la anterior se basa en un entorno gráfico teniendo las mismas características de exportar la información en un archivo CSV. El problema de esta herramienta es que es bastante lenta (aunque efectiva) a la hora de procesar la entrada $MFT.


Una vez vistas estas soluciones nos decantamos por utilizar MFT Parser no sin antes ir comparando los resultados devueltos con 'jp'

LO QUE LA MENTIRA ESCONDE

Volviendo al caso de María y ya sabiendo que el sistema almacena y hace un seguimiento de los ficheros, nos proponemos realizar la investigación. Para ello y tras diversas reuniones con los investigadores de las fuerzas de seguridad llegamos a la conclusión que debemos de buscar básicamente sobre la lista de archivos que los investigadores tienen y en las fechas que para ellos se cometió el fraude.

Para la explicación del caso en este post me he basado en un archivo que disponíamos como  evidencia  y he omitido todos los demás que nos han proporcionado, dado que seria demasiado largo y el objeto es explicaros el funcionamiento. Por lo tanto vamos a utilizar como patrón o base de búsqueda un fichero que se llama "sistema contable.xls".

Dado que teníamos este archivo nos 'choca' ver que en las propiedades de fecha en creación  acceso , modificación y están puestas a 14 de Junio de 2011 y a la misma hora. Puede ser una casualidad, pero el instinto me dice que huele raro.



Bien, es hora de abrir el fichero CSV que MFT Parser y JP nos han proporcionado, para ello utilizaremos  Excel y  vemos lo siguiente:

NOTA: Se ha truncado la salida del fichero ya que es extremadamente grande (mas de dos hojas) y nos hemos centrado en donde aparece el fichero en concreto.

Hoja1.- Cambio de nombre


Hoja2 - Cambio de atributos

Buscando por el patrón, se aprecia en la Hoja 1 que el día 19 se cambia de nombre el fichero excel "sistema contable.xls" y que en la Hoja 2 del día 22 se cambian atributos al fichero "sistema contable.xls". Es decir hay cambios.

Una vez visto que este fichero (y otros) se encuentran dentro de la tabla MFT vamos a utilizar nuestro conocimiento en Excel para transformar los datos en una potente base de datos. Lo primero procedemos a realizar un agrupamiento sobre este fichero para disponer de un 'timeline' de cambios utilizando el filtrado y las tablas dinámicas. ¡¡ Excel Power!!


Linea de tiempos de un archivo

A raíz del 'TimeLine' anterior deducimos lo siguiente:

LUNES 18 DE FEBRERO

En las tres primeras lineas, el 18/02/2013 a las 19:45:52 se produce el cambio de nombre de un archivo temporal llamado "sistema contable (DEMO).xls.crdownload", posiblemente se trate de un temporal que se produce mientras se descarga un archivo de Internet. Una vez descargado el fichero temporal y creado en el sistema de archivos a las 19:45:55 pasa a llamarse en vez de ".crdownload" a "sistema contable (DEMO).xls". El periodo en milisegundos de diferencia nos hace pensar que es un proceso propio del sistema.



El atributo de la tercera linea indica que se esta produciendo un cambio de nombre de archivo y siete minutos mas tarde (Linea 4) se produce el cambio de nombre de fichero. Pasa a llamarse de "sistema contable (DEMO).xls" a "sistema contable.xls"


En esos siete minutos deducimos que es decisión del usuario el cambio de fichero y durante ese tiempo se ha producido la apertura de ficheros word y excel que en apariencia no tienen que ver con el caso que nos ocupa.

A las 20:03:44 (Linea 5) se produce un borrado masivo de ficheros (hasta línea 9). He truncado la salida dado que este proceso se repetía múltiples veces con otros ficheros.


MARTES 19, MIÉRCOLES 20 y JUEVES 21 DE FEBRERO

Los días 19, 20 y 21 se siguen produciendo cientos de eliminaciones de archivos de word y excel. Aperturas de correo y modificaciones propias de ficheros del sistema operativo.

VIERNES 22 DE FEBRERO

El día 22 a las 08:42:00 se ejecuta el programa 'FileTouch' y once segundos mas tarde se produce un cambio de atributos en el fichero "sistema contable.xls". Por la diferencia en milisegundos entre los cambios de atributos se deduce que se ha realizado de forma automática y no manual.


Para corroborar los cambios de atributo vamos a mirar en el global del fichero CSV (en la pantalla inferior) se puede deducir que siguen la pauta de fechas entre el 19 al 22 de febrero del año 2013 a excepción de las lineas que están marcadas de color verde, negro y rojo .



Lo cual viene a decir que en la tabla maestra se encuentra de forma consecutiva:
  • Un archivo de nombre "sistema contable.xls " con fecha de acceso del 18 de Febrero de 2013.
  • Que a continuación hay un archivo FileTouch con fecha del 22 de Febrero de 2013.
  • Que se encuentra el archivo "sistema contable.xls " con fechas al 11 de Junio de 2011.
  • Que todos los restantes ficheros tienen o mejor dicho continúan con fecha de 22 de Febrero de 2013.

Ni que decir tiene que todas estas entradas anteriores y posteriores de la fila de color rojo se corresponden secuencialmente en la tabla maestra tal y como se encontraban los ficheros y que la columna 'HEADER_MFTREcordNumber' determina la posición de los ficheros y por lo tanto según las pruebas hay una modificación de fechas al archivo.

NOTA: He omitido búsqueda de Bytes, atributos Stream, atributos residentes y no residentes, flags, file Sparse, etc. que implicaban mucho mas la manipulación de este (y otros) ficheros.

OTRAS CONSIDERACIONES

El programa FileTouch es un asistente que cambia la fecha y hora de creación, modificación y acceso de muchos ficheros al mismo tiempo. Es un ejecutable ligerísimo y que no requiere instalación. Este se puede descargar desde múltiples sitios de Internet.

Para comprobar si se había descargado este programa procedemos a utilizar Web Historian de mandiant y pasando los parámetros de nombre del programa y las fechas entre el 18 y 23 de Febrero apreciamos en la siguiente pantalla que se ha navegado hacia la web de Softonic.


En la siguiente se identifica que se ha procedido a la descarga del fichero.


Si analizamos la carpeta 'c:\windows\prefetch' con Winprefetchview de Nirsoft nos encontramos que efectivamente el sistema puso en la cache de aplicaciones la ejecución del programa FileTouch, exactamente el mismo día y a la misma hora de lo que indican la MFT.


De esta forma procedimos a revisar todos los ficheros que presuntamente entre esas fechas habían sido eliminados, o modificados. Cotejando con los datos que las fuerzas de seguridad nos habían proporcionado.

También conseguimos recuperar ficheros contables que fueron de ayuda a los investigadores dado que los apuntes de dichas hojas de cálculo correspondían con entradas y pagos en negro de dinero, muchos de estos apuntes se hayan reflejados en transferencias bancarias entre las empresas del grupo. La investigación  a día de hoy todavía sigue su curso y se estima larga  debido a la cantidad de imputados.

Happy Forensics!!

martes, 19 de marzo de 2013

Herramientas forenses

Hola lectores,

Aquí os dejo la presentación que impartí el pasado fin de semana en la Universidad a Distancia de Madrid (UDIMA) en el curso organizado por la Asociación de Tasadores y Peritos Judiciales Informáticos.


Os recuerdo que el próximo 10 y 11 de Mayo se realizará el curso de "Perito Informático Forense" en Tarragona con un cartel de ponentes de lujo en el mundo de la seguridad informática y análisis forense.

A los que  no queráis ser los últimos y perderos la oportunidad de compartir con nosotros estos dos días y aprender esta magnifica profesión, os dejo el link de la Asociación para apuntaros.





jueves, 14 de marzo de 2013

Un pequeño detalle...

Hola lectores,

Hoy buceando por un disco de red me he encontrado unos 'Cheats Sheet' que quiero compartir con vosotros. Os puede servir como guía o para adornar la pared de un modo práctico e inteligente. Espero que os guste.

¡¡ Feliz Forensics!!



miércoles, 6 de marzo de 2013

Indicadores de compromiso ante una intrusión (IOCs), RedLine, Mandiant y APT1

Hola lectores,

Quizá soy el último en hablar del informe MANDIANT  y a raíz de los comentarios de los maestros Jose SelviDavid Barroso y mi queridísimo Chema y sin entrar en detalles dado que ellos lo han definido y comentado perfectamente, voy a dar una visión sobre 'como esta haciendo el Gobierno de EEUU para la detección de esta y otras intrusiones'. 

El gobierno Americano dice que el informe MANDIANT y lo ocurrido es un  'pearl harbor' cibernético y el número de ordenadores y servidores comprometidos en grandes empresas y sitios gubernamentales es muy grande, para ello han tenido que pedir ayuda a agencias de investigación, empresas dedicadas al análisis forense y respuesta ante incidentes.

Un colega americano comentaba esta madrugada que lo descubierto hasta ahora, es mucho malware mejorado de lo antiguo y que los antivirus son testigos mudos de como la industria del malware vence una y otra vez. Que han encontrado sistemas de control remoto y aplicaciones que 'roban' documentos del tipo 'office' y que los laboratorios a día de hoy están 'a tope' de trabajo y que muchas muestras son idénticas en funcionamiento por lo que parece ser que se han basado en una arquitectura común en el método de infección de un ordenador.

También ha indicado, que dado que son muchos los analistas de distintas empresas los que están involucrados han empezado a aplicar múltiples indicadores de compromiso para evaluar el índice de penetración de los piratas analizando artefactos de Windows y la memoria RAM y virtual de los sistemas.

Efectivamente uno de los problemas que tenemos los equipos de investigadores, es que nos encontramos con muestras que muchas veces ya han sido analizados por otros compañeros y como no hay una comunicación fluida acabamos haciendo el trabajo dos veces. Los indicadores de compromiso, es una forma efectiva de tener (o no) una sospecha de un malware o proceso infectado.

Estos indicadores, son un sistema muy interesante y que a raíz del comentario de este colega quiero explicaros de que va. Para ello vamos a utilizar diversas utilidades de la empresa MANDIANT que por cierto colabora con el Presidente Obama para la detección de estos últimos incidentes que ha ocurrido.

MANDIANT

Hablar de la empresa MANDIANT es hablar del concepto Respuesta ante Incidentes y Forensics en estado puro. Mandiant, es una empresa de seguridad ubicada en Alexandria en Virginia y es creadora de múltiples herramientas comerciales y gratuitas. Muchas de ellas son buenas y potentes y porque no decirlo, me han salvado la vida en mas de una ocasión como ya habréis visto en diversos artículos de este blog.

Esta empresa viendo los incidentes de sus clientes en cuanto a intrusiones se refiere, diseñó un framework con objeto  de documentar las características técnicas que identifican a una amenaza conocida, la metodología que utiliza un atacante, o cualquier otra prueba de compromiso en un sistema o aplicación. A este framework le han llamado OpenIOC que viene a decir Framework abierto de indicadores de compromiso.

OPENIOC

OpenIOC fue originalmente diseñado para permitir que sus productos pudieran de una forma  rápida e inteligente buscar potenciales fallos de seguridad y así lo integraron en toda su gama.  Con el paso del tiempo han liberado este framework en formato de código abierto que utiliza el esquema OpenIOC liberando herramientas y utilidades para permitir la comunicación de información.

Este framework permite preparar y agrupar de forma inteligente, (basado en los propios indicadores de compromisos de Mandiant) los ficheros, registros, servicios y procesos, haciendo eco en las posibles actuaciones de un atacante.

También si compartimos los indicadores de compromiso podemos detectar malware o algo inusual sin que tengamos que realizar un exhaustivo análisis forense de un sistema y trabajar dos veces en una muestra.

Veamos como funciona.

OpenIOC se compone de dos aplicaciones:

  • IOC_Finder: Esta utilidad recopila en diversos ficheros una auditoria completa del sistema sospechoso, basado en partes del registro, ficheros, servicios y procesos de la memoria. Una vez obtenido permite la generación de informes tan solo con cambiar un parámetro.
  • IOC_Editor (IOCe): Como su nombre indica es un editor gratuito para editar y crear los Indicadores de compromiso (IOCs). Estos son documentos XML que permiten ayudar a los analistas a capturar información diversa sobre las amenazas, incluidos los atributos de software malicioso en archivos, características de los cambios en el registro, los artefactos en la memoria, etc. IOCe proporciona una interfaz gráfica en la gestión de estos datos.
Ambos programas se pueden descargar desde la web OpenIOC en Mandiant aquí

RECOPILANDO INFORMACIÓN.

Para ver el funcionamiento vamos a instalar un malware que simula ser una versión mejorada y troyanizada del informe APT1 y que ha sido descubierto por Brandon Dixon y publicado en la web de Mandiant.  Una vez ejecutado nos muestra la siguiente pantalla:


Tras poner la contraseña "hello" explota la vulnerabilidad modificada y mejorada del  'CVE-2011-2462' que salió en diciembre de 2011.

No voy a entrar en detalles de que hace el malware, para ello tenemos un extenso documento aquí que explican el funcionamiento, ya que nuestra función es como aplicar indicadores ante un nuevo malware o intrusión.

Una vez que tenemos a mano las máquinas infectadas procedemos a utilizar las herramientas.

Para ello ejecutamos el siguiente comando:

C:\>mandiant_ioc_finder.exe collect

El cual empezará el proceso de obtención de datos. Esta ejecución durará posiblemente bastante rato (entre una o dos horas, dado que realiza un hash de todos los ficheros que está revisando), así que hay que armarse de paciencia. En diversos foros se cuenta como reducir el tiempo a cambio de quitar los hash, cosa imprescindible si lo que quieres es rapidez.

Obtención de datos

Una vez finalizado, el proceso habrá creado un directorio de nombre 'audits' que contiene un subdirectorio con el nombre de la máquina y que a su vez contiene unos 50 ficheros XML con los parámetros a utilizar. Este directorio es el resultado de unas veinte auditorias. De esta forma ya tenemos preparado lo que hay que revisar para poder pasar los indicadores de compromiso.

Contenido del directorio audits

Bien en este punto vamos a aplicar los indicadores de compromiso que nos van a permitir detectar malware  o una intrusión aún cuando los antivirus no lo hagan, pero antes vamos a entrar de lleno en el indicador de compromiso.

IOC (INDICADOR DE COMPROMISO)

Como decía un indicador de compromiso es un fichero XML que contiene los parámetros que definen si hay o no un posible compromiso y con que valor se asigna en cuanto a su probabilidad.

La estructura de uno de ellos viene a ser así:

Estructura

Y para manejarnos de una forma mas cómoda podemos utilizar IOCe que es el editor de indicadores. Si abrimos un fichero '.ioc' con el editor lo vemos de esta forma:

Editor de IOCs

AÑADIENDO MI INDICADOR DE COMPROMISO

Vamos a suponer que hemos detectado un patrón de compromiso que viene a decir lo siguiente:
  • El atacante utiliza la cuenta: sip
  • El dominio infectado es: www.premiosorg.org
  • El ejecutable 'dudoso' es: armada.tmp
  • El proceso es: lsass.exe
Para ello vamos a utilizar IOCe que es el editor de Indicadores, una vez ejecutado nos vamos a nuevo y creamos un nuevo indicador, el resultado se vería tal que así:

Creación de un Indicador

Una vez que hemos cargado o creado indicadores de compromiso es hora de generar un informe en la máquina con los datos que anteriormente hemos obtenido.

INFORME DE SISTEMA COMPROMETIDO

Para ello vamos a ejecutar el siguiente comando:

C:\>mandiant_ioc_finder report -s ./audits -i c:\IOC -t html

En el que le decimos que genere un informe tomando como origen los ficheros XML de la carpeta 'audits' y tomando los indicadores de compromiso de la carpeta IOC. También el parámetro -t le indica que el resultado del informe esté creado en HTML.

Creación del informe

Una vez finalizado (también hay que armarse de paciencia) nos habrá generado un informe en el que podemos ver los procesos o ficheros que son sospechosos que coincide con algunos de nuestros IOC.

Resultado del informe


GENERANDO INDICADORES DE COMPROMISO CON REDLINE



La parte de informes la prefiero mostrar utilizando Redline que además de ser otra herramienta de Mandiant, permite entre otras cosas analizar la memoria y mostrar qué proceso o fichero tiene más posibilidad de ser malware y cuál menos, contando puntos MRI (Malware Risk Index). Podríamos decir que es como Volatility pero con un entorno gráfico.

Otra de las ventajas es que permite crear un agente con objeto de llevarlo en un 'pendrive' o distribuirlo en un entorno de red y así obtener los resultados para posteriormente analizarlos. Permite crear IOCs o bien crear informes partiendo de ellos.

Lo mejor es verlo en un vídeo que he preparado a tal efecto, como podréis apreciar y tras cargar una sesión ya almacenada, Redline marca en color rojo los procesos de los que son sospechosos de malware, puntuando con un 98 el MRI.   A continuación creamos un informe basado en IOCs dando el origen de la carpeta que los contiene. Una vez cargado los IOCs abrimos el editor con objeto de ver el contenido del IOC y generamos el informe.


Vídeo del proceso de informes IOCs con Redline

Una vez finalizado podemos navegar en HTML por el proceso que ha sido detectado por el indicador de compromiso.

CONCLUSIONES

Hay que pensar que no es una herramienta 'al estilo' al que estamos acostumbrados en la detección de intrusiones, pero cumple todas las expectativas cuando se necesita analizar muchos sistemas en base a patrones. Yo lo definiría como un escaner forense en el que la comunidad (basándose en un estándar como OpenIOC) comparte sus patrones de búsqueda y que permite que un analista no haga el trabajo dos veces cuando otro lo ha realizado ya.

Evidentemente hecho en falta una automatización a la hora de desplegar agentes en grandes redes  y una gestión centralizada de estas, ya que de momento estos procesos son manuales. También hay que entender que Mandiant tiene su propia aplicación comercial (MIR) y que evidentemente no va a sacar un producto que compita consigo mismo.

No obstante con las aplicaciones que disponemos, un poco de imaginación mas la utilización de Active Directory con PowerShell, se puede llegar a un nivel de automatización mas que aceptable. El disponer de un sistema abierto como OpenIOC permitirá en un futuro disponer de herramientas que independientes del antivirus detecten patrones de ataque que estos no lo detectan.

La utilidad Redline es una gran herramienta a lo 'Volatility'  pero con las ventajas de un entorno gráfico, en la que destaco su paseo guiado o saber que es lo primero que tenemos que mirar. Redline calcula un "índice de malware de riesgo" que pone de relieve los procesos que merecen la pena investigar, vaya una joya la verdad.

Desde aquí os animo a que podáis empezar o seguir desarrollando con este apasionante tema de los Indicadores de compromiso.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...