Day 16: Registry Furensics - Advent of Cyber 2025
xhetic
@xhetic
📚 Esta publicación pertenece a las colecciones:
Day 16: Registry Furensics - Advent of Cyber 2025
Este writeup pertenece al evento Advent of Cyber 2025 de TryHackMe. Si quieres seguir toda la serie, consulta nuestra colección completa del Advent of Cyber 2025.
Hoy nos enfrentamos a un desafío puramente forense. Con McSkidy fuera de juego, el equipo de defensa de TBFC tiene que investigar el servidor dispatch-srv01, que coordina la entrega de regalos con drones y ha sido comprometido por los bandidos de King Malhare.
Nuestra tarea específica es investigar el Registro de Windows. Si el sistema operativo fuera un humano, el registro sería su cerebro: guarda configuraciones, hábitos, qué se ha ejecutado y qué debe arrancar al inicio.
Room: Forensics - Registry Furensics
Dificultad: Medium
Objetivo: Utilizar Registry Explorer para analizar las hives del registro y responder preguntas clave sobre la intrusión.
🧠 Entendiendo el Registro de Windows
Antes de ensuciarnos las manos, es vital entender qué estamos mirando. El registro no es un solo archivo, sino varios archivos llamados Hives (colmenas). Las más importantes para nosotros hoy son:
- SOFTWARE (
C:\Windows\System32\config\SOFTWARE): Contiene información sobre programas instalados y configuraciones del sistema. - NTUSER.DAT (
C:\Users\username\NTUSER.DAT): Contiene configuraciones específicas del usuario, como archivos recientes y programas ejecutados. - SYSTEM (
C:\Windows\System32\config\SYSTEM): Configuración de servicios, drivers y arranque.
Para el análisis, usamos Registry Explorer, una herramienta que nos permite cargar estas hives "offline" (sin estar ejecutándose en el sistema víctima) y analizarlas sin riesgo de modificarlas.
🔍 1. ¿Qué aplicación sospechosa se instaló?
La primera pregunta nos pide identificar qué aplicación se instaló en el servidor dispatch-srv01 antes de que empezara la actividad anormal.
Para saber qué hay instalado en un sistema, el lugar por excelencia en el registro es la hive SOFTWARE. Windows guarda la lista de programas que aparecen en "Agregar o quitar programas" en una clave específica.
Navegamos a:
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Aquí encontramos una lista de subclaves con identificadores y nombres. Al revisar las entradas, una llama la atención por su relación con los drones y el contexto del ataque:
Respuesta: DroneManager Updater
📂 2. ¿Desde dónde se ejecutó el instalador?
Saber que se instaló es una cosa, pero ¿cómo llegó ahí? Necesitamos encontrar la ruta completa desde donde el usuario lanzó el instalador.
Para esto, cambiamos de hive. Nos interesa la actividad del usuario, así que cargamos NTUSER.DAT. Existe una clave muy conocida en forense llamada UserAssist. Esta clave rastrea los programas ejecutados a través de la interfaz gráfica (GUI) de Windows. Es una mina de oro para ver qué ha estado haciendo un usuario.
Navegamos a:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Dentro, encontramos subclaves con GUIDs. Registry Explorer es muy amable y nos decodifica los nombres (que suelen estar en ROT13). Buscando el ejecutable relacionado con "DroneManager", encontramos la ruta de origen:
Respuesta: C:\Users\dispatch.admin\Downloads\DroneManager_Setup.exe
Esto nos confirma que el usuario dispatch.admin descargó y ejecutó el archivo manualmente desde su carpeta de Descargas.
🔄 3. Persistencia: ¿Cómo se asegura el malware de volver?
El último paso del atacante suele ser asegurar la persistencia, es decir, que su programa malicioso se ejecute automáticamente cada vez que se enciende el equipo.
Volvemos a la hive SOFTWARE (aunque también podría estar en NTUSER.DAT para persistencia de usuario). La clave Run es el lugar más clásico para esto. Todo lo que esté listado aquí, Windows lo ejecutará al iniciar sesión.
Navegamos a:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Aquí buscamos cualquier valor añadido recientemente o que parezca sospechoso. Encontramos una entrada que apunta al software de drones que identificamos antes, con un flag --background para correr en segundo plano.
Respuesta: "C:\Program Files\DroneManager\dronehelper.exe" --background
🏁 Conclusión
El Registro de Windows es una mina de oro para los analistas forenses. Hoy hemos visto cómo, sin necesidad de herramientas complejas más allá de un visor de registro, podemos reconstruir las acciones de un usuario y de un atacante: desde la descarga de un archivo hasta su instalación y persistencia.
Si te perdiste el análisis de logs con Splunk de ayer, echa un vistazo al Día 15: Drone Alone.
Recuerda que puedes seguir toda la serie de retos en nuestra colección completa del Advent of Cyber 2025.
¡Mañana seguiremos investigando! 🎄