Nuestro equipo SOC detectó actividad sospechosa en el tráfico de la red. Se ha comprometido una máquina y se ha robado información de la empresa que no debería haber estado allí. Depende de usted determinar qué sucedió y qué datos se robaron.
Preguntas
1.- ¿Cuál es el nombre del archivo malicioso utilizado para el acceso inicial?
Para responder esta pregunta utilizaremos la herramienta Wireshark y la opción Export Objects (File => Export Objects => HTTP).
Como se muestra en la imagen nuestro archivo de interés es login.php. Previo análisis de cada uno de los archivos mostrado en la imagen. En el archivo login.php se encuentra un archivo javascript adjunto en la cabecera HTTP Content-disposition.
2.- ¿Cuál es el hash SHA256 del archivo mencionado?
Para calcular el hash SHA256 debes extraer el archivo login.php y con la utilidad de Linux sha256sum calcular su valor de hash.
Para descargar el archivo utilizaremos la opción de Wireshark (File => Export Objects => HTTP) y guardaré el archivo en mi caso en un directorio llamado finding.
Una vez guardado el archivo calculamos su hash.
Como tenemos calculado el hash del archivo, utilizaré la herramienta VirusTotal para recopilar información del archivo.
La extensión del segudo archivo se muestra en la siguiente imagen.
En la siguiente imagen se comprueba que el archivo es malicioso.
Como se muestra en la imagen obtenida desde VirusTotal, el archivo se conecta con 5 direcciones IPs.
Para responder esta pregunta nos apoyaremos de la herramienta Wireshark.
Como se muestra en la imagen anterior en el paquete número 13900. Podemos obtener la respuesta a esta pregunta. Y como se muestra en la siguiente imagen VirusTotal muestra que la IP es maliciosa.
Happy Hack!!!
Comentarios
Publicar un comentario