Escenario
Un contador de su organización recibió un correo electrónico sobre una
factura con un enlace de descarga. Se observó tráfico de red sospechoso poco
después de abrir el correo electrónico. Como analista de SOC, investigue el
seguimiento de la red y analice los intentos de exfiltración.
Preguntas
¿Cuántos paquetes tiene la captura?
La
captura tiene un total de 4003 paquetes. La evidencia se puede obtener con la
herramienta Wireshark.
 |
| Menú->Statistics->Capture File Properties |
¿A qué hora se capturó el primer paquete?
La hora
del primer paquete capturado es 2019-04-10 20:37:07 UTC. En
la pregunta se pide la hora en formato UTC. Para obtener esto se debe
configurar el formato de fecha en Wireshark, en la opción Menú->Time Display
Format->UTC Date and Time of Day.
¿Cuál es la duración de la captura?
La
duración de la captura fue de 01:03:41. La evidencia se obtuvo con
la herramienta Wireshark.
 |
| Menú->Statistics->Capture File Properties |
¿Cuál es la computadora más activa a nivel de enlace?
La
computadora más activa a nivel de enlace (OSI Capa 2) es 00:08:02:1c:47:ae.
La evidencia se obtuvo con la herramienta Wireshark.
 |
| Menú->Statistics->Endpoints |
¿Fabricante de la NIC del sistema más activo a nivel de enlace?
El fabricante de la NIC del sistema más activo es Hewlett-Packard. La evidecia se obtuvo con la herramienta Find Mac Address Vendor en https://macvendors.com/ .
 |
| https://macvendors.com/ |
¿Dónde está la sede de la empresa que fabricó la NIC de la computadora más activa a nivel de enlace?
La sede está
ubicada en Palo Alto, California -Estados Unidos. La respuesta es Palo Alto.
Para obtener este dato se realizó una búsqueda en Google.
La organización trabaja con direccionamiento privado y máscara de red /24. ¿Cuántas computadoras en la organización están involucradas en la captura?
El número
de computadoras involucradas de la organización en la captura son 3
computadoras. La evidencia se obtuvo con la herramienta Wireshark.
 |
| Menú->Statistics->Endpoints |
Nota
La dirección IP 10.4.10.255 no se considera como computadora ya que, La la primera dirección IP indica la dirección de red y la última dirección IP es la dirección de difusión o Broadcast
¿Cuál es el nombre de la computadora más activa a nivel de red?
El nombre de la computadora con más actividad es Beijing-5cd1-PC. La evidencia se obtuvo sabiendo que; la dirección mac de la computadora con más actividad es 00:08:02:1c:47:ae. Por lo tanto, una forma de obtener es realizar un filtro en Wireshark por dirección mac y el protocolo dhcp el cual envía el nombre de host en su solicitud.
La dirección IP del servidor DNS es 10.4.10.4. La evidencia se obtuvo con la herramienta Wireshark utilizando el filtro dns.
¿Sobre qué dominio pregunta la víctima en el paquete 204?
La víctima pregunta sobre el dominio proforma-invoices.com. La evidencia se obtuvo con la herramienta Wireshark.
¿Cuál es la IP del dominio de la pregunta anterior?
La dirección IP es 217.182.138.150. La evidencia se obtuvo con la herramienta Wireshark en el frame 206.
La dirección IP pertenece al país de Francia. Para obtener esta información se utilizo la herramienta Maxmind GeoIP.
 |
| https://www.maxmind.com/en/home |
¿Qué sistema operativo ejecuta la computadora de la víctima?
El sistema operativo utilizado por la víctima es Windows NT 6.1. La evidencia se obtuvo con la herramienta Wireshark y aplicando el filtro ip.addr==10.4.10.132 and http.
¿Cuál es el nombre del archivo malicioso descargado por el contador?
El nombre del archivo malicioso es tkraw_Protected99.exe. La evidencia se obtuvo con la herramienta Wireshark y el filtro ip.addr==10.4.10.132 and http contains"application"
El hash MD5 es 71826ba081e303866ce2a2534491a2f7. La evidencia se obtuvo con la herramienta Wireshark exportar objeto HTTP y la función md5sum de Linux.
¿Cuál es el nombre del malware según Malwarebytes?
El nombre del malware según Malwarebytes es Spyware.HawkEyeKeyLogger. La evidencia se obtuvo con la herramienta VirusTotal.
¿Qué software ejecuta el servidor web que aloja el malware?
El software que ejecuta el servidor web es LiteSpeed. La evidencia de obtuvo con la herramienta Wireshark.
LiteSpeed es un software para implementar un servidor web y es el servidor web utilizado por el atacante para distribuir el malware.
¿Cuál es la IP pública del ordenador de la víctima?
La dirección IP Pública del ordenador de la víctima es 173.66.146.112. La evidencia se obtuvo analizando la peticiones http con Wireshark.
Primero se debe agregar una columna personalizada que muestre host a las peticiones. Para esto realizar esta configuración en barra de menú haga clic Edición > Preferencia > Aspecto > Columna.
Luego, en Wireshark aplicamos el filtro http.request y aplicamos seguimiento http al paquete que apunta al host bot.whatismyipaddress.com.
¿En qué país está el servidor de correo electrónico al que se envía la información robada?
El país donde se encuentra el servidor web de correo electrónico al que se envía la información robada es United States. La evidencia se obtuvo con la herramienta NetworkMiner y AbusiveIPDB.
¿Cuál es la fecha de creación del dominio al que se extrae la información?
La fecha de creación del dominio es 2014-02-08. La evidencia se obtuvo con la herramienta NetworkMiner y la función whois de Linux.
Analizando la primera extracción de información. ¿Qué software ejecuta el servidor de correo electrónico al que se envían los datos robados?
El software utilizado es Exim 4.19. La evidencia se obtuvo con la herramienta Wireshark.
¿A qué cuenta de correo electrónico se envía la información robada?
La cuenta de correo a la cual se envía la información es sales.del@macwinlogistics.in. La evidencia se obtuvo con la herramienta NetworkMiner.
¿Cuál es la contraseña utilizada por el malware para enviar el correo electrónico?
La contraseña utilizada es Sales@23. La evidencia se obtuvo con la herramienta Wireshark y la función base64 de Linux.
¿Qué variante de malware filtró los datos?
La variante de malware es Reborn v9. La evidencia se obtuvo analizando los correo enviado por el malware el cual rebela su variante y versión. Para obtener la información se uso la herramienta NetworkMiner.
¿Cuáles son las credenciales de acceso de bankofamerica? (usuario Contraseña)
La credencias de acceso es nombre de usuario: roman.mcguire y la password:P@ssw0rd$
¿Cada cuántos minutos se filtran los datos recopilados?
Cada 10 minutos se filtran datos recopilados. La evidencia se obtuvo con la herramienta NetworkMine.
Comentarios
Publicar un comentario