Cyberdefenders Práctica Malware Traffic Analysis 2, Brad Duncan - Digital Forensics

 

Escenario

El PCAP adjunto pertenece a una infección de Exploitation Kit. Analícelo usando su herramienta favorita y responda las preguntas de desafío.

Pregunta

¿Cuál es la dirección IP de la VM de Windows que se infecta?

La dirección IP de la máquina virtual de Windows es 172.16.165.132. La evidecia se obtuvo con la herramienta Brim y el filtro (alert). El filtro Alert es lanzo por el complemento del analizador de red Suricata integrada en Brim.

¿Cuál es la dirección MAC de la VM infectada?

La dirección MAC de la máquina virtual infectada es 00:0c:29:c5:b7:a1. La evidencia se obtuvo con la herramienta Wireshark y el filtro (ip.src == 172.16.165.132).

¿Cuál es la dirección IP y el número de puerto que entregó el kit de explotación y el malware?

La dirección IP y el puerto que entregó el kit de explotación es 37.143.15.180:51439. La evidencia se obtuvo con la herramienta Brim.

¿Cuáles son los dos FQDN que entregaron el kit de explotación? separados por comas en orden alfabético.

Los FQDN que entregaron el Kit de explotación son g.trinketking.com, h.trinketking.com. La evidencia se obtuvo con la herramienta NetworkMiner.

¿Cuál es la dirección IP del sitio web comprometido?

La dirección IP del sitio web comprometido es 192.30.138.146. La evidencia se obtuvo con la herramienta Brim y aplicando el filtro (http and files). Como se observa en la imagen primero se produce una solicitud http desde la IP 172.16.165.132 (máquina comprometida) a la dirección IP 192.30.138.146 y la respuesta a esta solicitud es una descargar de archivo. Cabe mencionar que el filtro Suricata Alert by Category  de Brim.

¿Cuál es el FQDN del sitio web comprometido?

El FQDN del sitio web comprometido es hijinksensue.com. La evidencia se obtuvo basándose en la respuesta anterior al analizar las cabeceras http, en específico la cabecera Refer.

¿Cuál es el nombre del kit de explotación (EK) que entregó el malware? (dos palabras)

El nombre del kit de explotacion es Sweet Orange. La información se obtuvo con la herramienta online packettotal en la columna Alert Signature.

¿Cuál es la URL de redireccionamiento que apunta a la página de inicio del kit de explotación?

La URL de redireccionamiento que apunta la página de inicio del Kit de explotación es static.charlotteretirementcommunities.com/k?tstmp=3701802802. La evidencia se obtuvo con la herramienta online packettotal.com

¿Cuál es la dirección IP de la URL de redireccionamiento que apunta a la página de destino del kit de explotación?

La dirección IP de redireccionamiento es 50.87.149.90. La evidencia se obtuvo con la herramienta online packeetotal.com 

¿Cuál es el CVE de la vulnerabilidad explotada?

El CVE de la vulnerabilidad explotada es CVE-2014-6332. La información se obtuvo con la herramienta online  packettotal y google.

Como se observa en la imagen la herramienta packettotal no advierte en la columna Alert Signature que el nombre del kit de explotación es Sweet Orange, por lo cual realizamos una búsqueda en google para relacionar el kit de explotación a su respectivo CVE.

¿Cuál es el tipo MIME del archivo que tomó más tiempo (duración) para ser analizado usando Zeek?

El tipo MIME del archivo que tomó más tiempo para ser analizado es application/x-dosexec. El tiempo utilizado por la herramienta es de 5.104743s. La información se obtuvo con la herramienta Brim y utilizando el filtro _path=="files" | sort -r duration.

¿Cuál era la referencia del URI visitado que devolvía el archivo "f.txt"?

La URI de referencia visitado que devolvía el archivo f.txt es http://hijinksensue.com/assets/verts/hiveworks/ad1.html, la evidencia se obtuvo con la herramienta Brim y el filtro _path=='http' f.txt.

¿Cuándo se capturó este PCAP?

El archivo pcap fue capturado con fecha 23/11/2014. La evidencia se obtuvo con la herramienta Brim.

¿Cuándo se compiló el archivo PE?

El archivo PE se compiló con fecha 21/11/2014. La evidencia se obtuvo con la herramienta pescan.

Otra herramienta con la cual se podría encontrar esta misma información es exiftool.

 

¿Cuál es el nombre del emisor del certificado SSL que apareció solo una vez? (una palabra)

El nombre del certificado SSL que apareció solo una vez es CyberTrust. La información se obtuvo con la herramienta Wireshark y el filtro tls.

Como se puede observar en la imagen existe solo una IP 2.18.189.224, que entrega un certificado tls, por lo tanto, ampliaremos el filtro en Wireshark para obtener el emisor del certificado.    

Al ampliar el filtro se puede observar la entrega del certificado tls. Al analizar el paquete de dato se puede obtener el nombre del emisor del certificado en la capa de dato Transfer Layer Security  (TLS).

¿Cuáles fueron los dos métodos de protección habilitados durante la compilación del presente archivo PE? Formato: separados por comas en orden alfabético.

Los métodos de protección habilitados durante la compilación es DEP/NX y SEH. La evidencia se obtuvo con la herramienta pesec.

La respuesta correcta es DEP,SEH.

Nota:

DEP (Data Execution Prevention): Es un mecanismo de seguridad en la cual se marcan regiones de memoria no ejecutables. De tal manera, el intento de ejecución de código máquina en estas regiones provocara una excepción.

SEH (Structured Exception Handling): Es un mecanismo de manejo de excepciones estructurado es una extencion de Microsoft para el lenguaje C y C++ para manejar situaciones excepcionales, como fallas del hardware.