Escenario:
Nuestro sistema de detección de intrusiones nos ha alertado sobre un comportamiento sospechoso en una estación de trabajo, lo que apunta a una probable intrusión de malware. Se ha tomado un volcado de memoria de este sistema para su análisis. Su tarea es analizar este volcado, rastrear las acciones del malware e informar los hallazgos clave. Este análisis es fundamental para comprender la infracción y evitar mayores compromisos.
Preguntas:
1.- Necesitamos identificar el proceso responsable de este comportamiento sospechoso. ¿Cómo se llama el proceso sospechoso?
Para identificar el proceso sospechoso, debemos comprender lo que alerto este incidente el sistema de detención de intrusiones (IDS), por lo tanto, debemos analizar las conexiones de red de la estación de trabajo comprometida.
Como se muestra en la imagen existen varias conexiones de red activas, podríamos investigar si alguna de estas direcciones IP están en lista negra, es decir, que la dirección IP está informada como dirección IP maliciosa o extraer cada proceso y escanearlo con algún antivirus. Para este caso lo que haré será consultar las direcciones IP.
La dirección IP 58.64.204.181 está informada como dirección IP malicioso como se muestra en la siguiente imagen.
Extracción de archivo con Volatility 3
Escaneo de archivo con ClamAv
Como se muestran en las imágenes anteriores el proceso malicioso es ChromSetup.ex. ClamAv lo detecto como un Malware y a su vez, la dirección IP asociada al proceso está informada como dirección IP maliciosa.
2.- Para erradicar el malware, ¿cuál es la ruta exacta del archivo ejecutable del proceso?
Para responder esta pregunta ejecutaré el siguiente comando con la herramienta volatility 3.
Como se muestra en la imagen la ruta exacta del archivo ejecutable se encuentra en: C:\Users\alex\Downloads\ChromeSetup.exe.
3.- Identificar las conexiones de red es crucial para comprender la estrategia de comunicación del malware. ¿Cuál es la dirección IP a la que intentó conectarse?
Esta información la obtuvimos en la pregunta número 1, en la cual se analizó las conexiones de red de la estación de trabajo comprometida. la dirección IP al que se intentó conectar es: 58.64.204.181.
4.-Para identificar el origen geográfico del ataque, ¿qué ciudad está asociada con la dirección IP con la que se comunicó el malware?
Para responder esta pregunta utilizaremos una herramienta online llamada GeoIP .
5.- Los hashes proporcionan un identificador único para los archivos, lo que ayuda a detectar amenazas similares en todas las máquinas. ¿Cuál es el hash SHA1 del ejecutable del malware?
Para calcular el hash SHA1 utilizaré la función de Linux sha1sum.
El hash SHA1 es: 280c9d36039f9432433893dee6126d72b9112ad2
6.- Comprender el cronograma de desarrollo del malware puede ofrecer información sobre su implementación. ¿Cuál es la marca de tiempo de compilación del malware?
Utilizaré la herramienta pedump para analizar el archivo ejecutable y obtener la fecha de compilación.
7.- Identificar los dominios involucrados con este malware ayuda a bloquear futuras comunicaciones maliciosas e identificar posibles comunicaciones actuales con ese dominio en nuestra red. ¿Puede proporcionar el dominio relacionado con el malware?
Para responder esta pregunta utilizaré la herramienta VirusTotal. Enviaré el hash que calculamos en la pregunta número 5.
Comentarios
Publicar un comentario