Escenario
Como analista que trabaja para un proveedor de servicios de seguridad, se le ha encomendado la tarea de analizar la captura de un paquete para el empleado de un cliente cuya actividad de red ha sido monitoreada durante un tiempo (posible información privilegiada).
Preguntas
La contraseña del cliente FTP es AfricaCTF2021. La evidencia se obtuvo al analizar el archivo .pcapng con la herramienta WireShark y aplicando el filtro FTP.
La dirección IPv6 del servidor DNS utilizado por la IP 192.168.1.26 es fe80::c80b:adff:feaa:1db7. La evidencia se obtuvo al analizar el archivo .pcapng con la herramienta Wireshak.
El dominio que busca el usuario en el packete 15174 es www.7-zip.org. La evidencia se obtuvo analizando el archivo .pcapng con la herramienta Wireshark.
¿Cuántos paquetes UDP se enviaron de 192.168.1.26 a 24.39.217.246?
El número de paquetes UDP enviados desde la IP 192.168.1.26 a la IP 24.39.217.246 fueron 10 paquetes. la evidencia se obtuvo al analizar el archivo .pcapng con la herramienta Wireshark, aplicando el filtro ip.addr == 192.168.1.26 and udp and ip.dst_host == 24.39.217.246
La direccion MAC del sistema que se investiga es c8:09:a8:57:47:93. La evidencia se obtuvo al analizar el archivo .pcapng con la herramienta Wireshark y aplicando el filtro ip.addr == 192.168.1.26. y haciendo doble click en cualquier paquete para obtener la dirección MAC.
¿Cuál fue el nombre del modelo de cámara utilizado para tomar la foto 20210429_152157.jpg?
El nombre del modelo de la cámara es LM-Q725K. Para obtener esta evidencia se utilizaron las siguientes herramientas. NetworkMiner para extraer la imagen y Exiftool para leer los metadatos de la imagen.
¿Cuál es la clave pública del certificado del servidor que se usó en la sesión TLS: da4a0000342e4b73459d7360b4bea971cc303ac18d29b99067e46d16cc07f4ff?
La clave pública del certificado del servidor que se uso en la sesión TLS es
04edcc123af7b13e90ce101a31c2f996f471a7c8f48a1b81d765085f548059a550f3f4f62ca1f0e8f74d727053074a37bceb2cbdc7ce2a8994dcd76dd6834eefc5438c3b6da929321f3a1366bd14c877cc83e5d0731b7f80a6b80916efd4a23a4d
La evidencia se obtuvo analizando el archivo .pcapng con la herramienta Wireshark aplicando el filtro tls.handshake.type==2.
¿Cuál es el primer cliente TLS 1.3 aleatorio que se utilizó para establecer una conexión con protonmail.com?
El primer cliente TLS1.3 aleatorio que se utilozó para establecer una conexión con protonmail.com
24e92513b97a0348f733d16996929a79be21b0b1400cd7e2862a732ce7775b70
La evidecia se obtuvo al analizar el archivo .pcapng con la herramienta Wireshark y aplicando el filtro tls contains "protonmail.com"
¿En qué país está registrada la dirección MAC del servidor FTP? (dos palabras, un espacio en medio)
La dirección MAC esta registrada en United States. La evidecia se obtuvo analizando el archivo .pcapng con la herramienta Wireshark y aplicando el filtro ftp.
¿A qué hora se creó una carpeta no estándar en el servidor FTP el 20 de abril? (hh:mm)
La hora en que se creo la carpeta es 17:53, la evidencia se obtuvo analizando el archivo .pcapng con la herramienta Wireshark y aplicando el filtro ftp-data
¿A qué dominio estaba conectado el usuario en el paquete 27300?
El dominio al que está conectado el usuario en paquete 27300 es dfir.science. La evidecia se obtuvo analizando el archivo .pcapng con la herramienta Wireshark. Además, se utilizó la funcionalidad Resolved addresses de Wireshark.
Comentarios
Publicar un comentario