Escenario:
Un ejercicio de análisis PCAP que destaca las interacciones del atacante con los honeypots y cómo funciona la explotación automática. (Tenga en cuenta que la dirección IP de la víctima se ha cambiado para ocultar la verdadera ubicación).
Como analista social, analice los artefactos y responda las preguntas.
1. ¿Cuál es la dirección IP del atacante?
La dirección IP del atacante es 98.114.205.102. La información se obtuvo con la herramienta Brim Security y el filtro "Suricata Alert by Category"
La dirección IP del objetivo (máquina víctima) es 192.150.11.111. La información se obtuvo con la herramienta Brim Security.
3. Proporcione el código de país para la dirección IP del atacante (también conocida como ubicación geográfica).
El código de país para la dirección IP del atacante es US. La información la obtuve con la herramienta GeoIP de MaxMind.
Las sesiones TCP que están presente en el tráfico capturado son 5. La información se obtuvo con la herramienta Wireshark y la utilidad Statistics/conversations.
El tiempo tomado para realizar el ataque es de 16 segundos. La información se obtuvo con la herramienta Wireshark.
7. Indique el número CVE de la vulnerabilidad explotada.
El número CVE es 2003-0533. La información se obtuvo con la herramienta Wireshark y el buscador de Google.
En el frame número 38 se observa el protocolo DSSETUP (DsRoleUpgradeDownlevelServer). Este protocolo es utilizado por Microsoft para configuración de servicios Active Directory.
El protocolo utilizado para transmitir el exploit es SMB. La información se obtuvo con la herramienta NetworkMiner y buscando la forma de explotar la vulnerabilidad cve:2003-0533.
La vulnerabilidad cve:2003-0533 afecta a los sistemas Windows en específico al proceso LSASS, este proceso es responsable de hacer cumplir las políticas de seguridad en el sistema. Este servicio proporciona varias funciones del sistema operativo, como la autenticación de dominio y local cliente/servidor y compatibilidad con Active Directory. El componente vulnerable específico es del sistema es LSASRV.DLL. Se puede acceder a la función vulnerable a través de los puertos TCP 139 (NetBios) y 445 (SMB).
9. ¿Qué protocolo utilizó el atacante para descargar archivos maliciosos adicionales en el sistema de destino?
El atacante utilizo el protocolo ftp para descargar archivos malicioso adicionales en el sistema de destino. La información se obtuvo con la utilidad strings de Linux y Wireshark.
10. ¿Cuál es el nombre del malware descargado?
El nombre del malware descargado es ssms.exe.
El número de puerto que está escuchando el servidor del atacante es 8884. La información se obtuvo con la herramienta Brim Security.
La primera vez que se envió el malware a VirusTotal fue 2007-06-27. La información se obtuvo con la herramienta Wireshark y la utilidad md5sum de Linux.
En el menú de Wireshark seleccionamos Edit/Find Packet y configuramos la búsqueda de la siguiente manera "Packet bytes / Narrow & Wide / String= MZ". Luego, utilizamos la utilidad Follow TCP Stream.
La clave utilizada para codificar el shellcode es 0x99. La verdad que reverse engine no es mi fuerte, para encontrar la respuesta a esta pregunta tuve que buscar intensamente en Internet y encontré un tutorial que resolvía este mismo desafío se los dejo aquí.
14. ¿Cuál es el número de puerto al que se vincula el shellcode?
El número de puerto al que se vincula el shelllcode es 1957. La respuesta la encontré este tutorial que resolvía este desafío, se los dejo aquí.
15. El shellcode utilizó una técnica específica para determinar su ubicación en la memoria. ¿Cuál es el archivo del sistema operativo que se consulta durante este proceso?
El archivo que se consulta durante el proceso es kernel32.dll. La información se obtuvo con la herramienta VirusTotal.
Happy Hack!!!
Comentarios
Publicar un comentario