Como ya vimos en el artículo anterior, habíamos encontrado un .hta que ejecutaba un script en Powershell que a todas luces parecía malicioso. Nos quedamos con la mosca detrás de la oreja, así que aunque estemos fuera del alcance del CTF, vamos a intentar tirar del hilo para ver si somos capaces de saber qué ha sucedido en el equipo.
[Nota: Como esta parte es un bonus, no vamos a intentar hacerla por duplicado en Windows y Linux, que bastante trabajo llevaron algunas cosas.]
Nos gustaría responder a estas preguntas:
- ¿Qué malware se ha desplegado en el equipo?
- ¿Qué acciones maliciosas se han realizado en el sistema?
- ¿Cuál ha sido el vector de entrada de esta infección?