Hola!
Estoy acabando mis prácticas de consultor de seguridad informática, y me surge una duda (seguramente muy tonta). Os explico el caso:
Me dan un volcado de memoria (memory.vmem), la paso a mi portátil con BT (pendiente de pasar a Kali, jeje), y le "enchufo" el volatility (hice un script sencillo que pasa casi todas las opciones: connscan2, ident, sockscan2, vaddump...).
Se supone que la máquina de la que se ha extraído la memoria estaba infectada, así que me pongo a mirar los dumps.
Para mirarlo mejor me los bajo por FTP a mi pc de sobremesa (tengo una pequeña LAN montada en casa :-P) y el antivirus me bloquea algunos dumps por ser "maliciosos".
Vale, más claro imposible, ¿no? Los dumps bloqueados son los que tienen algo "raro". En efecto, son partes de los procesos de Firefox y Acrobat Reader.
De ahí intuyo que el usuario estaba leyendo un PDF desde el Firefox, o bien se ha descargado el PDF desde el Firefox... bueno ese no es el caso ahora mismo.
Cojo el dump de Acrobat y lo paso por virustotal.com, y 1.000 y una alarmas, ok ahí hay un exploit. En el dump "siguiente" (el que se generó justo después) veo información de cookies.
En la lista de files no están las cookies, pero en la lista que me da la tabla VAD sí, vamos atando cabos...
Pero ahora mi pregunta es: ¿cómo identifico el payload? Quiero decir, necesito hacer un informe que diga algo así como: "El usuario estaba haciendo XXXX y bajó un PDF infectado por YYYYYY exploit, lo que le permitió al atacante hacer ZZZZ".
¿Alguna sugerencia?
Obviamente no pido un "software mágico", pido CONSEJO (algo que parece que muchos se han olvidado que existe jejeje) sobre cómo identificar el payload.
Gracias por adelantado.