peritacion-teamviwer-perito-informatico

Cualquier sistema de control remoto nos hace la vida más fácil ya que nos permite conectarnos incluso desde el móvil. Pero usado sin supervisión, puede ser una vía de robo de información para cualquier persona o empresa.

Un caso muy habitual, es la peritación de los sistemas de control remoto, como Team Viewer que permite conectarnos y ver la pantalla o extraer ficheros del ordenador remoto o, hacia un equipo de afuera.

Por tanto, un trabajador o alguien cercano, podría estar mandándose información a su casa, o bien, desde su casa conectarse y copiarse los datos fundamentales de la empresa lo que muchas veces nos dicen los clientes “robo de información“.

En este artículo vamos a ver unos parámetros básicos para saber si esto ha ocurrido y proceder a realizar una peritación informática correcta.

El fichero que vamos a utilizar en este caso está en Windows, en el directorio c:\program files (x86)\teamviewer y iene como nombre TeamViewerXX_Logfile.log (siendo las XX la versión). Aquí debemos buscar una serie de palabras clave para identificar actos concretos:

Primero: El registro en el equipo que ha recibido la conexión:

  • Ver el nombre del ordenador remoto (el que ha originado la conexión con el que estamos investigando) y el ID: Busca “VoIP: Receiver:” Saldrá que el canal participante “Participant channel” (es el nombre del equipo que ha originado la conexión y su ID). También hay otras opciones como buscar “punch received a=”
  • Ver el nombre de nuestro equipo que estamos investigando: Buscar “Our participant id is” y nos salndrá el nombre de nuestro equipo y la ID que tenía en ese momento. Esto es útil cuando se ha hecho un cambio de nombre de equipo a propósito ya que quedará el que había en esa fecha.
  • Ver la IP y puerto de la conexión entrante a Team Viewer: Buscar el texto “punch received a=”
  • Comprobar si existe movimiento de ficheros, buscar “FileTransferProgress::OnFileAdded: “, pero no nos dará el nombre del fichero. Si nos ha salido este parámetro, ahora tenemos que ver si el fichero ha salido de nuestro ordenador o del remoto. Para esto, buscar “(StreamType_File, private), source=” Esto nos indica que hay tráfico de ficheros y “source” es el ID del ordenador de origen donde está el fichero en un primer lugar. Con esto ya sabemos si se ha podido robar información o enviar información.
  • Para ver quién se ha intentado conectar aunque no haya iniciado sesión: 2019/10/02 15:36:18.952 2056 6088 S0 AuthenticationBlocker::Allocate: allocate ok for DyngateID 1415853395, attempt number 2. El número después de DyngateID es el equipo que se conecta al que estamos estudiando. Attempt es el número de veces que lo ha intentado sin iniciar sesión.

Como nota aclaratoria, aunque no ponga el nombre de los ficheros que han sido objeto de robo, se puede hacer un timeline del disco duro para ver la fecha de acceso a los mismos que serán los que han sido utilizados en esta comunicación.

Buscando por ese documento se pueden ver estos datos:

Start: 2019/00/00 08:10:58.908 (UTC+1:00)
Version: 14.5.5819
ID: 0
Loglevel: Info (100)
License: 0
Server: master14.teamviewer.com
IC: -1355221301
CPU: Intel64 Family
CPU extensions
OS: Win_10.0.17763_W (64-bit)
IP: 192.168.0.22
MID: 0x049226d3ce97_1d44cc67230d0d5_1280671056
MIDv: 0
Proxy-Settings: Type=1 IP= User=
IE: 11.117.17763.0
AppPath: C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
UserAccount: SYSTEM

Segundo: El registro en el equipo que ha emitido la conexión:

Aquí si que podemos ver el nombre de los ficheros en función del idioma en este tipo de tramas:

Para traer ficheros desde el ordenador remoto a este:

DataTransceiver: TransferProtocol => TransferProtocol::ReceivedChunkCommand: unknown id: 33330502156
Grabar archivo C:\Users\Virtual1\Documents\.\FICHEROENORIGEN.txt
Descarga desde “”D:/TV\.\FICHEROENORIGEN.txt”” a “”C:\Users\Virtual1\Documents\.\FICHEROENORIGEN.txt”” (10 Bytes)

Esto “graba” en local (estamos en la máquina que emite la conexión remota) el fichero del disco duro D: remoto.

Para enviar de este ordenador al equipo remoto:

DataTransceiver: TransferProtocol => TransferProtocol::ReceivedChunkCommand: unknown id: 3433324315
Enviar desde “C:\Users\Virtual1\Documents\desde remoto.txt” a “D:/TV\desde remoto.txt” (10 Bytes)

Esto está grabando nuestro fichero local (estamos emitiendo la conexión) al disco duro D: del equipo al que hemos establecido conexión.

Recuerde que esto de por sí, no tiene validez legal y es necesario crear la cadena de custodia. Cualquier duda, consulte con peritosinformaticos.es.

El fichero Connections_incoming.txt da la información resumida de las conexiones entrantes. El formato es: [ID Equipo remoto que se conecta], [Nombre equipo remoto], [Fecha entrada en formato UTC], [Fecha de salida en formato UTC], usuario (generalmente estándar) y un identificador:

1415333595 LAPTOP-FV5UR0AK 02-10-2019 13:36:18 02-10-2019 14:09:10 usuario RemoteControl {4DA7B84B-CC5E-48D6-B901-635CDAD2DEBB}
1415333595 LAPTOP-FV5UR0AK 02-10-2019 14:24:38 02-10-2019 14:37:23 usuario RemoteControl {FFD4F68C-914C-4BA8-B1AC-0C15FDD59182}
14153353595 LAPTOP-FV5UR0AK 02-10-2019 14:31:29 02-10-2019 14:37:23 usuario RemoteControl {E0EA4EC5-96DC-4255-AA9A-87A3EC48B3F2}