Examen de Habilidades de Cisco: Juan Cordova 28-01-2021
Examen de Habilidades de Cisco: Juan Cordova 28-01-2021
Examen de Habilidades de Cisco: Juan Cordova 28-01-2021
Juan Cordova
28-01-2021
Son 15 eventos que son explotados y pertenecen a 25 grupos.
i. ¿Los eventos les parecen sospechosos? ¿La computadora interna parece estar
infectada o en riesgo? Explique.
Los hechos sí me parecen sospechosos porque se han realizado eventos interno que
llegara a afectar el riesgo de la computadora como podemos ver en la siguiente imagen, y
podemos observar que existen componentes expirados que se están queriendo acceder,
tenemos un flash que es la falla de seguridad.
j. ¿Cuál es el sistema operativo que se está ejecutando en la computadora interna en
cuestión?
Es un software que está diseñado para los servidores y verificar si no tiene vulnerabilidades
de software o en las máquinas clientes que mantiene en comunicación, además los kit de
ataques tiene un propósito de generar nuevas vulnerabilidades y a su vez eliminar
vulnerabilidades existentes.
c. Realicen una búsqueda rápida en Google de “Angler EK” para conocer los
conceptos básicos del kit de ataque. Resuman lo que encuentren y anótelo aquí.
Angler Exploit Kit es uno de los «cócteles» maliciosos para ransomware más potentes que
existen. Una vez que el kit encuentra en el equipo atacado una aplicación vulnerable tal
Adobe Flash el kit ofrece sus cargas útiles maliciosas, de acuerdo con una entrada
publicada por Heimdal Security.
La primera carga útil infecta el PC de la víctima con un ladrón de datos ampliamente
utilizado conocido como Pony
La segunda carga útil activa el ampliamente utilizado ransomware CryptoWall 4.0 que
bloquea los archivos de usuario hasta que se pague el rescate elegido, con un cifrado fuerte
casi irrompible.
El contacto: como las páginas web, puede ser por spam, o correo electrónico no deseado.
Redireccionados: apuntamos a una dirección específica
Exploit: Ver la página de la víctima para hacer el exploit
Infeccion: por último se realiza la infección en la máquina final.
a. En el contexto de los eventos que se muestran en SGUIL para este ataque, anoten
las direcciones IP involucradas a continuación.
192.168.0.12
173.201.198.128
208.113.226.171
209.126.97.209
192.168.0.1
192.99.108.158
93.114.64.118
b. El primer evento nuevo que se muestra en SGUIL contiene el siguiente mensaje:
“ET Policy Outdated Flash Version M1” (“Política de ET desactualizada; versión M1 de
Flash”). ¿A qué host se refiere el evento? ¿Qué implica ese evento?
c. Según SGUIL, ¿cuál es la dirección IP del host que parece haber aplicado el
ataque?
192.99.198.158
Los que tienen relación con Flash .fla y Java, los scrip AS, xml
h. Utilicen ELSA para reunir más evidencia que respalde la hipótesis de que el host
que identificaron antes aplicó el malware. Abran ELSA y generen una lista de todos
los hosts que descargaron el tipo de archivo antes mencionado. Recuerden ajustar el
período según corresponda. ¿Pudieron encontrar más evidencias? Si es así, anoten
lo que encontraron aquí.
192.168.0.12 posiblemente este infectado en la cual tiene una version que esta
actualizada que es el flash además fue descargado un archivo malicioso en la cual
es qwe.mvdunalterableairreport.net
a. Los kits de ataque a menudo dependen de una página de inicio de sesión que se
utiliza para escanear el sistema de la víctima en busca de vulnerabilidades y para
exfiltrar una lista de esas vulnerabilidades. Utilicen ELSA para determinar si el kit de
ataque en cuestión utilizó una página de inicio de sesión. Si es así, ¿cuáles son su
URL y su dirección IP? ¿Cuál es la evidencia? Pista: Los dos primeros eventos de
SGUIL contienen muchas pistas. .
173.201.198.128
SRC: Host: lifeinsidedetroit.com
Nombre del Servidor:SRC: POST /02024870e4644b68814aadfbb58a75bc.php
Datos exfiltrado:8bd3799ee8799332593b0b9caa1f426
URL Completa::SRC: POST /02024870e4644b68814aadfbb58a75bc.php?
q=8bd3799ee8799332593b0b9caa1f426 HTTP/1.1
Este Software malicioso está diseñado para realizar análisis de la computadora y exfiltrar
los datos a la página de inicio de EK.El flash envía a través de un POST a un script que es
de PHP que esta en la siguiente direccion: lifeinsidedetroit.com que esta es una direccion de
destino.A su vez recopila la información del ataque con las vulnerabilidades que tiene.
b. ¿Cuál es el nombre de dominio que aplicó el kit de ataque y la carga útil del
malware?
URI: http://qwe.mvdunalterableairreport.net/3xdz3bcxc8
c. ¿Cuál es la dirección IP que aplicó el kit de ataque y la carga útil del malware?
192.99.198.158
d. Desde los eventos en SGUIL, abran Wireshark y exportan los archivos de los
paquetes capturados tal como se hizo en una práctica de laboratorio anterior. ¿Qué
archivos o programas pudieron exportar con éxito?
3xdz3bcxc8