Durante una comprobación de seguridad informática habitual en GlobalTech Industries, se detectó tráfico de red anormal en varias estaciones de trabajo. Tras una investigación inicial, se descubrió que las consultas de búsqueda de ciertos empleados se redirigían a sitios web desconocidos. Este descubrimiento generó inquietud y motivó una investigación más exhaustiva. Su tarea es investigar este incidente y recopilar la mayor cantidad de información posible.
Preguntas
1.- Comprender al adversario ayuda a defenderse de los ataques. ¿Cómo se llama la familia de malware que provoca tráfico de red anormal?
Para encontrar el nombre de la familia que pertenece el malware utilizaré la herramienta Virutotal. Enviaré el hash que se proporciona en el laboratorio a Virustotal.
2.- Como parte de nuestra respuesta a incidentes, conocer los nombres de archivo comunes que utiliza el malware puede ayudar a escanear otras estaciones de trabajo en busca de una posible infección. ¿Cuál es el nombre de archivo común asociado con el malware descubierto en nuestras estaciones de trabajo?
3.- Determinar la marca de tiempo de compilación del malware puede revelar información sobre su cronología de desarrollo e implementación. ¿Cuál es la marca de tiempo de compilación del malware que infectó nuestra red?
4.- Comprender cuándo la comunidad de ciberseguridad más amplia identificó por primera vez el malware podría ayudar a determinar cuánto tiempo podría haber estado presente en el entorno antes de ser detectado. ¿Cuándo se envió el malware por primera vez a VirusTotal?
Con la herramienta VirusTotal en el menú "Details" podemos encontrar la marca de tiempo cuando se envió la muestra de malware por primera vez.
5.- Para erradicar por completo la amenaza de los sistemas de Industries, debemos identificar todos los componentes que el malware ha dejado caer. ¿Cuál es el nombre del archivo que el malware ha dejado caer en la carpeta Appdata?
Para responder a esta pregunta utilizaré nuevamente la herramienta VirusTotal en el apartado "Community". Buscaré en los análisis de la comunidad alguna variante más antigua.
Como se muestra en la imagen anterior la respuesta la encontré en el reporte de "lacha" en el link https://www.virustotal.com/gui/file/a1a9137dea275aa805e5640f6450366dbf6e10be066e5c12c34904e45e469c4c/detection Older variant
6.- Es fundamental identificar los servidores C2 con los que se comunica el malware para bloquear su comunicación y evitar una mayor filtración de datos. ¿Cuál es el servidor C2 con el que se comunica el malware?
Finalmente, en el apartado "Behavior" de VirusTotal podemos observar la actividad de red que el malware genera para la comunicación con el C2.
Happy Hack!!!
Comentarios
Publicar un comentario