Escenario
El martes antes del Día de Acción de Gracias, Tom y Jake están trabajando
en el SOC. Tom trajo su computadora portátil con Windows a la oficina y
planea navegar por la web. Jake está trabajando duro revisando
alertas.
Para continuar con sus planes de vacaciones, Tom decide comprar una escopeta. Enciende su computadora portátil con Windows, se conecta al wifi del SOC y comienza a buscar escopetas en línea.
No pasa mucho tiempo antes de que la computadora de Tom active algunas alertas por actividad sospechosa en la red. ¡Después de esas alertas, su computadora portátil falla!
Eres el supervisor de Tom y Jack. Tom probablemente será despedido en
algún momento debido a su pobre ética de trabajo. Jake es ciertamente
galante, pero todavía es un analista relativamente inexperto. Tendrás que
averiguar qué pasó con la computadora portátil de Tom.
Revisas la máquina de Tom y rápidamente encuentras una entrada de registro
sospechosa. Parece que Tom infectó su computadora portátil. El hash SHA256
para el archivo al que se hace referencia en el registro es:
d16ad130daed5d4f3a7368ce73b87a8f84404873cbfc90cc77e967a83c947cd2
A continuación, revisa las alertas de red. Desafortunadamente, su
organización es demasiado barata para cualquier sistema comercial de
detección de intrusos (IDS). Afortunadamente, se han implementado
soluciones de menor costo. Tiene acceso a las alertas de Snort utilizando
el conjunto de reglas registrado de Snort. También tiene acceso a las
alertas de Suricata utilizando el conjunto de reglas gratuito de
EmergingThreats.
Preguntas
¿Cuál es la dirección IP de la víctima?
La dirección IP de la víctima es 10.1.25.119. La evidencia se obtuvo con la herramienta BrimSecurity.
Como se observa en la imagen BrimSecurity detecta una alerta "Network trojan was detected".
al revisar los logs de la alerta podemos averiguar la dirección IP de la víctima.
¿Cuál es el nombre de host de la víctima?
El nombre de host de la víctima es Turkey-Tom. La evidencia se obtuvo con la herramienta BrimSecurity y el filtro de protocolo dhcp.
El nombre de kit de explotación es Angler. Para obtener esta evidencia lo primero que hice fue enviar el archivo malware-traffic-analysis-4.pcap a Virustotal el cual detecto un virus.
Ahora toca identificar el o los archivos que están infectados para realizar esta tarea utilizaremos la herramienta NetworkMine para extraer los archivos. Luego toca analizar todos los archivos obtenidos con la herramienta y correr una herramienta de antivirus como por ejemplo Clamav. En mi caso utilice Virustotal.
¿Cuál es la dirección IP que sirvió el exploit?
La dirección IP del servidor que entrego el exploit es 162.216.4.20. La evidencia se obtuvo con la herramienta NetworkMiner.
El encabezado que se usa para indicar la versión de flash es x-flash-version. La evidencia se obtuvo con la herramienta Wireshark y el filtro ip.src_host==162.216.4.20 and http.
¿Cuál es la URL maliciosa que redirige al servidor que sirve el exploit?
La url maliciosa que redirige al servidor que sirve el exploit es http://solution.babyboomershopping.org/respondents/header.js. La evidencia se obtuvo con la herramienta Wireshark y el filtro ip.src_host==10.1.25.119 and http. Como sabemos cuál es la dirección IP del servidor que sirve el exploit basta con analizar el primer paquete de datos con la dirección IP 162.216.4.20 y revisar la cabecera referer.
¿Cuál es el ID de CAPEC correspondiente a la técnica utilizada para redirigir a la víctima al servidor de explotación? Más información en capec.mitre.org
Como se muestra en la imagen hay un iframe que apunta a la url http://neuhaus-hourakus.avelinoortiz.com/forums/viewforum.php?f=15&sid=0l.h8f0o304g67j7zl29.
Nota:
Un iframe es un elemento html representa un contexto de navegación anidado. Es decir, permite incrustar una página html dentro de otra página html.
Aquí lo importante de notar es que el iframe no es visible en el navegador web del usuario como se puede ver en la imagen a continuación donde realice una prueba.
Por último nos queda encontrar el ID CAPEC . Para esto ingrese a la página web de CAPEC y realice una búsqueda por indicador de comportamiento. En este caso iframe.
CAPEC es un repositorio o base de datos que enumera y clasifica patrones de ataques.
¿Cuál es el FQDN del sitio web comprometido?
El FQDN del sitio web comprometido es shotgunworld.com. La evidencia se obtuvo con la herramienta Wireshark y analizando el frame número 10552 el mismo de la respuesta anterior.
El sitio web comprometido contiene un js malicioso que redirige al usuario a otro sitio web. ¿Cuál es el nombre de la variable que se pasa a la función "document.write"?
El nombre de la variable es OX_7f561e63. La evidencia se obtuvo con la herramienta Wireshark y las función exportar objeto para obtener los frame que tienen un content-type de tipo text/javascript.
¿Cuál es la marca de tiempo de compilación del malware encontrado en la máquina? Formato: AAAA-MM-DD hh:mm:ss
El tiempo de compilación es 2007-08-01 18:16:48. Aquí encontrar la solución no es muy fácil de encontrar como se puede ver en las alertas de BrimSecurity.
En la imagen se puede apreciar una alerta de tipo Bedep Connectivity lo quiere decir que el malware no escribe en disco sino en memoria, es decir, inyecta código en memoria, esta técnica es conocida como (Fileless). También como no tenemos el volcado de memoria de la PC infectada no podemos rescatar el malware para su análisis.
En la sección de detalle del laboratorio nos entregan un hash el cual es la carga útil entregado por el malware, el cual lo envíe a Virustotal y así obtener la marca de tiempo de la compilación del malware.
Happy Hack!!!
Comentarios
Publicar un comentario