CTF disponible en https://ctf.unizar.es, aquí está todo lo que se puede aprender:
PLATAFORMA CTF DE ACCESO LIBRE: DFIR CTF Challenges ¿Qué se puede aprender?
La plataforma ofrece 7 desafíos de Respuesta ante Incidentes (DFIR) con escenarios prácticos realistas basados en investigaciones forenses. Cada desafío está diseñado para desarrollar habilidades específicas de análisis forense y respuesta ante incidentes.
DESAFÍOS DISPONIBLES
1. DFIR CTF – Email took my money (Forensia de Exchange)
Escenario: Fraude de CEO mediante compromiso de correo electrónico
Qué aprendes:
- Análisis forense de Microsoft Exchange 2010
- Investigación de correos electrónicos comprometidos
- Análisis de logs del servidor de acceso a clientes (CAS)
- Rastreo de accesos no autorizados a buzones de correo
- Análisis de EventHistory de usuarios en Exchange
- Importación y análisis de archivos PST (Outlook)
- Técnicas de Message Tracking en Exchange
- Detección de acceso remoto no autorizado a través de OWA y ActiveSync
Evidencias utilizadas:
- Datos de triage del equipo del CFO
- Datos de triage del equipo del CEO
- Logs del servidor de correo
- Exportaciones de buzones de correo (PST)
- Historial de eventos de usuarios
2. DFIR CTF – Needles, magnets & haystacks (Malware sin archivos)
Escenario: Detección de malware fileless en sistemas Windows
Qué aprendes:
- Análisis de memoria RAM para detectar malware
- Técnicas de análisis forense fileless (malware en memoria)
- Identificación de actividad maliciosa en procesos de sistema
- Análisis de registros del servidor de correo
- Detección de acceso no autorizado a través de direcciones IP sospechosas
- Técnicas de análisis de volcados de RAM
- Identificación del “paciente cero” en incidentes de seguridad
Evidencias utilizadas:
- Volcado de memoria RAM (Winpmem)
- Datos de triage del sistema (CyLR)
3. DFIR CTF – Inminent RATs (Remote Access Trojans)
Escenario: Investigación de compromiso por RAT (Troyano de Acceso Remoto)
Qué aprendes:
- Detección de RATs en sistemas Windows 7
- Análisis de comportamiento malicioso en memoria
- Identificación de herramientas de acceso remoto
- Análisis de procesos maliciosos
- Técnicas de análisis de volcados de memoria
- Detección de persistencia de malware
- Análisis de triage completo del sistema comprometido
Evidencias utilizadas:
- Volcado de memoria RAM (DumpIt)
- Datos de triage (CyLR)
4. DFIR CTF – Remote winds, local storms (Fuga de datos)
Escenario: Investigación de fuga masiva de datos desde servidores
Qué aprendes:
- Análisis forense de servidores Windows 2016
- Investigación de brechas de datos masivas (60,000 registros)
- Análisis de servidores web comprometidos
- Evaluación del alcance de incidentes
- Análisis de logs de red (Bro/Suricata)
- Detección de acceso no autorizado a carpetas compartidas
- Análisis de volcados de memoria de servidor
- Técnicas de daño y control del incidente
- Análisis de logs IIS/web server
- Investigación de acceso remoto a servidores segregados
Evidencias utilizadas:
- Datos de triage del servidor de archivos
- Volcado de memoria de servidor
- Disco completo del PC administrativo
- Logs del servidor web
- Logs de Bro (análisis de red)
- Contenido de carpetas de inetpub
5. DFIR CTF – Ransomware ate my homework (Ataque de Ransomware)
Escenario: Incidente de ransomware operado por humanos (HOR) en infraestructura gubernamental
Qué aprendes:
- Análisis forense completo de incidentes de ransomware
- Identificación del tipo de ransomware específico
- Generación de indicadores de compromiso (IOC)
- Determinación del vector de entrada
- Análisis del Táctico, Técnico y Procedimientos (TTP) de atacantes
- Análisis de Domain Controller comprometido
- Análisis de múltiples endpoints Windows 10
- Detección de desactivación de antivirus
- Análisis de propagación lateral
- Forensia de volcados de memoria y triage
Evidencias utilizadas:
- Datos de triage del Domain Controller
- Volcado de memoria del DC
- Dump lógico del disco del DC
- Datos de triage de PCs (Windows 10)
- Volcados de memoria de endpoints
6. DFIR CTF – The dangers of daydreaming in O365 (Cloud Forensics)
Escenario: Fuga de datos desde Microsoft Office 365
Qué aprendes:
- Análisis forense de Office 365 (correo, Teams, SharePoint)
- Investigación de compromiso en entornos cloud
- Análisis de actividades de usuario en O365
- Detección de acceso no autorizado a datos en la nube
- Análisis de estructura organizacional en Azure AD
- Investigación de sincronización de datos en la nube
- Análisis de logs y auditoría de O365
- Forensia de equipos locales conectados a O365
- Análisis de carpetas de usuario en endpoints
Evidencias utilizadas:
- Datos de triage del equipo personal
- Carpeta C:\Users de usuario específico
- Evidencias exportadas de O365
- Logs de acceso a servicios cloud
7. DFIR CTF – Cocido balls (Acceso Restringido)
Nota: Este desafío está restringido a la Universidad de Zaragoza y a organismos de aplicación de la ley.
HABILIDADES TÉCNICAS DESARROLLADAS
Análisis Forense Windows:
- Interpretación de logs de eventos de Windows
- Análisis de registro de Windows (Registry)
- Análisis de artefactos de disco (MFT, Prefetch, AmCache)
- Análisis de historial de navegación
- Análisis de archivos recientes (LNK)
- Análisis de conectividad USB
Análisis de Memoria:
- Análisis de volcados de RAM
- Detección de malware fileless
- Identificación de procesos maliciosos
- Análisis de inyección de código
Análisis de Correo:
- Forensia de Exchange Server
- Análisis de protocolos SMTP, POP3, IMAP
- Investigación de buzones comprometidos
- Análisis de historial de acceso
Análisis de Red:
- Interpretación de logs de red (Bro/Suricata)
- Detección de patrones de ataque
- Identificación de direcciones IP maliciosas
- Análisis de tráfico anómalo
Cloud Forensics:
- Investigación de Office 365
- Análisis de Azure AD
- Detección de compromiso en la nube
METODOLOGÍA DE APRENDIZAJE
Cada desafío incluye:
- ✓ Escenarios realistas basados en casos reales
- ✓ Evidencias auténticas (volcados de memoria, logs, discos)
- ✓ Múltiples niveles de dificultad en los desafíos
- ✓ Datos forenses verificables con hashes criptográficos
- ✓ Documentación técnica y referencias a herramientas
- ✓ Sistema de puntuación (Scoreboard)
- ✓ Acceso sin registro a la mayoría de desafíos
HERRAMIENTAS Y TECNOLOGÍAS UTILIZADAS
- CyLR: Colección rápida de datos de triage
- Winpmem/DumpIt: Captura de volcados de memoria
- Rekall: Análisis de memoria forense
- Microsoft Exchange Server 2010: Análisis de correo
- Windows 7/10/Server 2008 R2/2016: Sistemas operativos analizados
- Bro/Suricata: Análisis de logs de red
- Sysmon/ELK: SIEM y monitoreo
- Outlook: Análisis de cliente de correo
LECCIONES PRINCIPALES
A través de estos CTF aprenderás:
- Cómo investigar incidentes de seguridad reales
- Análisis de malware y técnicas de evasión
- Investigación de fraudes de correo electrónico
- Análisis forense en la nube (O365)
- Respuesta ante ransomware
- Técnicas de atacantes (TTP)
- Uso de herramientas estándar de la industria
- Metodología de respuesta ante incidentes (DFIR)
- Análisis de patrones de ataque
- Generación de indicadores de compromiso (IOC)
ACCESO Y PARTICIPACIÓN
- URL: https://ctf.unizar.es
- Coste: Acceso completamente gratuito
- Registro: No es obligatorio para acceder a la mayoría de desafíos
- Dificultad: De principiante a avanzado
- Público: Profesionales de ciberseguridad, estudiantes, investigadores
Esta plataforma es una excelente herramienta educativa para aprender DFIR (Digital Forensics and Incident Response) de forma práctica, realista y completamente gratuita, desarrollada por el profesor Antonio Sanz y respaldada por la Universidad de Zaragoza.
26. Sala 25. 5º.11 años luchando contra APT: ¿Qué hemos aprendido? – Antonio Sanz (S2 Grupo)
