Escenario
El PCAP adjunto pertenece a una infección de Exploitation Kit. Analícelo usando su herramienta favorita y responda las preguntas de desafío.
Preguntas
¿Cuál es la dirección del host Windows infectada?
La dirección IP de la maquina infectada es 192.168.137.62. La evidencia se obtuvo con la herramienta Brim y el filtro "Suricata Alert by Category".
¿Cuál es el nombre Kit de Explotación ?
El nombre del Kit de explotación es Angler EK. La evidencia se obtuvo con la herramienta PacketTotal.
¿Cuál es el FQDN que liberó el kit de explotación?
El FQDN que liberó el kit de explotación es qwe.mvdunalterableairreport.net. La evidencia se obtuvo con la herramienta Wireshark.
¿Cuál es la URL de redireccionamiento que apunta a la página principal del kit de explotación?
La URL de redireccionamiento que apunta a la pagina principal del kit de explotación es http://lifeinsidedetroit.com/02024870e4644b68814aadfbb58a75bc.php?q=e8bd3799ee8799332593b0b9caa1f426. La evidencia se obtuvo con la herramienta PacketTotal.
¿Cuál es el FQDN del sitio web comprometido?
El FQDN del sitio web comprometido es earsurgery.org. La evidencia se obtuvo con la herramienta PacketTotal.
Con la herramienta se analizó las peticiones y respuesta de la IP 192.168.137.62 y se obtuvo el FQDN del sitio web comprometido analizando la cabecera Referer.
¿Qué flujo de TCP muestra la carga útil de malware que se entrega? Proporcione el número de transmisión
El número de transmisión es 80 (puerto). La evidencia se obtuvo con la herramienta Wireshark.
Como se observa en la imagen el frame 2957 tiene un content type application/octal-stream. Cabe recordar que hostname es el host que entrega el kit de explotación. Por lo tanto, toca averiguar por cual puerto se realiza la trasmisión de la la entrega de la carga útil.
Como se observa en la imagen el flujo de transmisión se realiza por el puerto 80.
¿Cuál es la dirección IP del servidor C&C?
La dirección IP del servidor C&C es 209.126.97.209. La evidencia se obtuvo con la herramienta PacketTotal.
Como se puede observar en la imagen PacketTotal advierte de un Trojan bedep ssl. Trojan.Bedep abre una puerta trasera en los sistemas infectados y puede descargar malaware adicional en el sistema. Este troyano suele instalarse en los sistemas afectados mediante Kit de explotación.
¿Cuál es la fecha de expiración del certificado SSL?
La fecha de expiración del certificado SSL es 24/11/2024. La evidencia se obtuvo con la herramienta NetworkMiner.
El dominio malicioso sirvió un archivo ZIP. ¿Cuál es el nombre del archivo DLL incluido en este archivo?
El nombre del archivo DLL incluido en este archivo es icVsx1qBrNNdnNjRI.dll. La evidencia se obtuvo con la herramienta PacketTotal.
Primero se obtuvierón las conexiones HTTP y se filtró por el término zip.
Luego, se descargó el archivo zip para su análisis.
La hash MD5 de la carga útil es 3dfa337e5b3bdb9c2775503bd7539b1c. La evidencia se obtuvo con las heramientas Wireshark, CyberChef y Bindwalk.
Primero se extrajo el malware con la herramienta Wireshark (opción export object).
Segundo con la herramienta cyberchef se analiza el archivo y se observa que el archivo esta ofuscado. También se observa que repite los caracteres adR2b4nh.
Como se sabe el nombre del kit de explotación, realice una búsqueda en Interne para averiguar que técnica de ofuscación se utilizó.
Como se observa en la imagen la técnica de cifrado es xor. Con la herramienta Cyberchef aplicamos la función xor para desofuscar el archivo y guardar el resultado de aplicar la función xor, para luego con la herramienta binwalk extraer la carga útil.
¿Cuáles fueron los dos métodos de protección habilitados durante la compilación del archivo PE? (separado por comas).
Los métodos de protección de compilación son SEH y Stack cookies (también conocido como Canary). La evidencia se obtuvo con la herramienta pesec.
Nota
El método de protección Stack cookies también conocida como Canary. Es un método de protección de compilación para detectar la sobre escritura de pila.
¿Cuándo se compiló el archivo DLL?
El archivo DLL se compilo con fecha 09/01/2002. La evidencia se obtuvo con la herramienta pescan.
Se utilizó un archivo Flash junto con la URL de redireccionamiento. ¿Qué URL se utilizó para recuperar este archivo flash?
La URL que se utilizó para recuperar el archivo Flash es http://adstairs.ro/544b29bcd035b2dfd055f5deda91d648.swf. La evidencia se obtuvo con la herramienta Wireshark.
¿Cuál es el CVE de la vulnerabilidad explotada?
Esta pregunta la podemos responder apartir de la pregunta (¿Cuál es el hash MD5 de la carga útil?). La respuesta es CVE-2013-2551.
¿Cuál fue la versión del navegador web utilizada por el host infectado?
La versión de navegador infectado es MSIE9 (Microsoft Internet Explorer 9). La evidencia se obtuvo con la herramienta PacketTotal.
¿Cuál es la consulta de DNS que tuvo el RTT más alto?
La consulta DNS con RTT más alto es ssl.gstatic.com. La evidencia se obtuvo con la herramienta Brim.
¿Cuál es el nombre del emisor del certificado SSL que más aparece? (una palabra)
El nombre de emisor de certificado SSL que más aparece es google. La evidencia se obtuvo con la herramienta Brim.
Comentarios
Publicar un comentario