El pasado 8 de octubre tuvo lugar la cumbre europea de Análisis Forense y Respuesta a Incidentes en Praga (República Checa) organizada por el instituto SANS.
.
Como parte de la agenda, THIBER participó con la presentación de Chema García sobre cómo identificar los movimientos del atacante, usando la herramienta de código abierto diseñada para tal propósito UserLine.
Esta herramienta de DFIR, a partir de los eventos de seguridad generados por los sistemas Windows, posibilita entre otras, establecer relaciones a partir de las acciones de login y logout de los usuarios, mostrando entre otros la relación entre los usuarios/servidores/dominios, identificar qué usuarios estaban conectados a qué sistemas en un momento determinado, la relación entre máquinas utilizadas por el atacante y los servidores objetivo, etc.
Así mismo, la herramienta proporciona diferentes formatos de salida para integrarse con terceras herramientas, tales como CSV, JSON, SQLite, Gephi, Graphviz y posterior visualización a través de una base de datos de grafos.