Escenario
Como analista de SOC, explore una colección de archivos pcap de Wireshark que profundizan en varias tácticas de ataque, incluida la evasión y el movimiento lateral. Analice el tráfico de red capturado dentro de estos pcaps para descubrir información valiosa y detectar posibles actividades de comando y control (C&C).
Preguntas
¿Cuál es la cantidad de ancho de banda que utiliza el protocolo SMB en bytes?
La cantidad de ancho de banda utilizada por el protocolo SMB en bytes es: 4406. La información se obtuvo con la herramienta Wireshark y la función Statistic -> Protocol Hierarchy.
¿Qué nombre de usuario se utilizó para la autenticación a través de SMB?
El nombre de usuario que se utilizó para la autenticación es: Administrator. La información se obtuvo con la herramienta Wireshark y el filtro smb contains "NTLM".
Protocolo SMB
El protocolo SMB(Server Message Block) es un protocolo cliente/servidor se utiliza para compartir recursos tales como archivos, carpetas, impresoras, etc. IBM desarrolló SMB a finales de la década de 1980 para describir la estructura de los recursos compartidos. Luego los servicios para compartir archivos y de impresión de SMB se convirtió en la base del networking de Microsoft. Microsoft introdujo SMB en Windows 2000 y cambio la estructura subyacente para utilizar SMB. En versiones anteriores de Windows no utilizaba un protocolo TCP/IP para implementar la resolución de nombres. Empezando con Windows 2002, todos los productos posteriores de Microsoft utilizan la denominación DNS. Esto permite que los protocolos TCP/IP soporten directamente el poder compartir recursos SMB. El puerto utilizados por SMB es 445 TCP/IP
Volviendo a la pregunta y como se puede apreciar en la imagen anterior en el frame número 5 se puede observar User: Administrator. En la siguiente imagen se ve con más detalle el encabezado User name: Administrator.
¿Cuál es el nombre del archivo que se abrió?
El nombre del archivo que se abrió es: eventlog. la información se obtuvo con la herramienta Wireshark la función Export Object (File -> Export Object -> SMB).
En la imagen anterior se muestra el nombre del archivo eventlog. Analicemos un poco más en el paquete número 9 podemos observar el nombre del archivo en el encabezado File Name: \eventlog
¿Cuál es la marca de tiempo del intento de borrar el registro de eventos? (24H-UTC)
La marca de tiempo del intento de borra el registro de evento es: 2020-09-23 16:50:16. La información se obtuvo con la herramienta Wireshark y el filtro eventlog. aquí el eventlog que nos interesa es: ClearEventLogW.
Una vez filtrado los paquetes de datos e identificar el paquete que nos importa necesitamos convertir el formato de fecha y hora de la columna time de Wireshark a formato UTC. Para cambiar el formato de fecha y hora debemos hacer clic en View -> Time Display Format-> UTC Date Time of day(1970-01-01 01:02:03:123456)
Una vez aplicado el formato de fecha y hora, nos fijamos en la columna time en Wireshark del paquete número 19. donde se muestra la fecha y hora en el formato indicado para responder a nuestra pregunta.
Un atacante utilizó una tubería con nombre para la comunicación para mezclarse y evadir la detección. Cuál es el nombre del servicio que utiliza esta tubería para la comunicación?
El nombre del servicio que utiliza la tubería (PIPE) para la comunicación es: atsvc. La información se obtuvo con la herramienta Wireshark y Internet para buscar información.
Primero, filtre la captura y excluí algunos paquetes conocidos.
Analizando los paquetes después de aplicar el filtro, me llamo la atención en la columna protocolo ISystemActivator y en la columna Info RemoteCreateInstance. Por lo tanto, realice una búsqueda en Internet.
Segundo, Buscando en Internet di con una información con la cual explican que se pueden ejecutar comandos sobro el protocolo SMB con herramientas tales como PSExec de SysInternals, smb-psexec NSE de nmap. Lo anterior se basa en el protocolo MS-RPC (Microsoft Remote Procedure Call), Es un protocolo que permite solicitar el servicio de un programa en otra computadora sin tener que comprender los detalles de la red de esa computadora. Se puede acceder a un servicio MS-RCP a través de diferentes protocolos de transporte, entre los que se encuentran:
- Tubería SMB de red.
- TCP simple o UDP simple (puerto de escucha establecido en la creación del servicio).
- una tubería SMB local.
- \pipe\lsarpc: enumere privilegios, relaciones de confianza, SID, políticas y más a través de LSA (Autoridad de seguridad local).
\pipe\samr: enumere usuarios de dominio, grupos y más a través de la base de datos SAM local (funciona solo en versiones anteriores de Windows 10).
\pipe\svcctl: crear, iniciar y detener servicios de forma remota para ejecutar comandos (utilizado por psexec.py y smbexec.py de Impacket).
\pipe\atsvc: cree de forma remota tareas programadas para ejecutar comandos (utilizado por atexec.py de Impacket).
\pipe\epmapper: utilizado por DCOM (Modelo de objetos de componentes distribuidos), utilizado por WMI (Instrumentación de administración de Windows), abusado por los atacantes para la ejecución de comandos (utilizado por wmiexec.py de Impacket). DCOM también es utilizado por MMC (Microsoft Management Console), abusado por los atacantes para la ejecución de comandos (Impacket's dcomexec.py).
La duración de la comunicación tuvo una duración de: 11.7247. Para obtener la información se utilizó la herramienta Wireshark y la funcion Statistics -> conversations.
¿Qué nombre de usuario se usa para configurar solicitudes que pueden considerarse sospechosas?
El nombre que se utilizó para configurar solicitudes sospechosas es: backdoor. La información se obtuvo con la herramienta Wireshark.
¿Cuál es el nombre del archivo ejecutable utilizado para ejecutar procesos de forma remota?
El nombre del archivo ejecutable utilizado para ejecutar procesos de forma remota es: PSEXESVC.exe. La información se obtuvo con la herramienta Wireshark.
Happy Hack!!!
Comentarios
Publicar un comentario