Escenario:
El equipo de seguridad de su organización ha detectado un aumento en la actividad sospechosa de la red. Existe la preocupación de que se estén produciendo ataques de envenenamiento LLMNR (Resolución de nombres de multidifusión local de enlace) y NBT-NS (Servicio de nombres NetBIOS) dentro de su red. Estos ataques son conocidos por explotar estos protocolos para interceptar el tráfico de red y potencialmente comprometer las credenciales de los usuarios. Su tarea es investigar los registros de la red y examinar el tráfico de red capturado.
1.- En el contexto del incidente descrito en el escenario, el atacante inició sus acciones aprovechando el tráfico de red benigno de máquinas legítimas. ¿Puede identificar la consulta específica mal escrita realizada por la máquina con la dirección IP 192.168.232.162?
Como se muestra en la imagen anterior, apliqué el filtro llmnr en Wireshark. Se puede observar que la dirección IP 192.168.232.162 realiza consultas a través del protocolo LLMN consultando por file******, prinetr. Por lo tanto, la consulta mal escrita es file******.
El protocolo LLMNR (Link-Local Multicast Name Resolution) es un protocolo utilizado por los sistemas Microsoft resuelve los nombres de los ordenadores vecinos si la red no dispone de un servidor DNS. El protocolo LLMNR funciona en entornos de IPv4 y IPV6 y a nivel de red local por el puerto 5355, no es un remplazante del protocolo DNS. LLMNR soporta los mismo formatos, tipos y clases de registro que DNS, pero utiliza un puerto distinto.
2.-Estamos investigando un incidente de seguridad de la red. Para una investigación exhaustiva, necesitamos determinar la dirección IP de la máquina fraudulenta. ¿Cuál es la dirección IP de la máquina que actúa como entidad maliciosa?
Como se muestra en la imagen anterior hay varias solicitudes de tipo LLMNR que la responde la dirección IP 192.168.xxx.xxx.
Hasta este punto, me di cuenta que estamos en presencia de un ataque llamado Spoofing LLMNR. Para más información sobre este tipo de ataque visite el siguiente link: https://attack.mitre.org/techniques/T1557/001/
3.-Durante nuestra investigación, es crucial identificar todas las máquinas afectadas. ¿Cuál es la dirección IP de la segunda máquina que recibió respuestas envenenadas de la máquina fraudulenta?
Como se muestra en la imagen anterior la dirección IP maliciosa es 192.168.232.215, por lo tanto, primero apliqué el filtro ip.src==192.168.232.215 and llmnr, con el filtro anterior pude analizar a todas las direcciones IP a las cuales respondió la IP maliciosa 192.168.232.215. la primera IP es 192.168.232.162 y la segunda IP es 192.168.xxx.xxx. Por lo tanto, la segunda IP que recibió solicitudes maliciosa es 192.168.xxx.xxx.
4.-Sospechamos que las cuentas de usuario pueden haber sido comprometidas. Para evaluar esto, debemos determinar el nombre de usuario asociado a la cuenta comprometida. ¿Cuál es el nombre de usuario de la cuenta que comprometió el atacante?
Para responder esta pregunta basta con observar la columna "info" de Wireshark, para este caso es suficiente debido a que el archivo de captura es pequeño.
5.-Como parte de nuestra investigación, nuestro objetivo es comprender el alcance de las actividades del atacante. ¿Cuál es el nombre de host de la máquina a la que accedió el atacante a través de SMB?
El nombre de host que accedió el atacante es **********PC. Sabemos que el atacante obtuvo las credenciales de un usuario, por lo tanto, es al host que accedió el atacante, como se muestra en la siguiente imagen.
Happy Hack!!!
Comentarios
Publicar un comentario