Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Examen de Habilidades de Cisco: Juan Cordova 28-01-2021

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 11

Examen de Habilidades de Cisco

Juan Cordova
28-01-2021
Son 15 eventos que son explotados y pertenecen a 25 grupos.

e. Según SGUIL, ¿cuándo comenzó el ataque? ¿Cuándo terminó? ¿Cuánto duró


aproximadamente?
El ataque comienza desde 2017-09-07 15:31:12 y termina el 2017-09-07 15:31:34, por lo
que tiene una duración de 22 segundos.

f. ¿Cuál es la dirección IP de la computadora interna involucrada en los eventos?

La ip que involucrada en los eventos es la 192.168.0.12

g. ¿Cuál es la dirección MAC de la computadora interna involucrada en los eventos?


¿Cómo la averiguaron?

MAC: 00 :1B: 21 :CA :FE :D7 Se capturó mediante el Wireshark


h. ¿Cuáles son algunos de los ID de origen de las reglas que se activan cuando
ocurre el ataque? ¿De dónde provienen los ID de origen?
209.165.200.235,
93.114.64.118,
173.201.198.128,
208.113.226.171,
192.99.198.158

i. ¿Los eventos les parecen sospechosos? ¿La computadora interna parece estar
infectada o en riesgo? Explique.

Los hechos sí me parecen sospechosos porque se han realizado eventos interno que
llegara a afectar el riesgo de la computadora como podemos ver en la siguiente imagen, y
podemos observar que existen componentes expirados que se están queriendo acceder,
tenemos un flash que es la falla de seguridad.
j. ¿Cuál es el sistema operativo que se está ejecutando en la computadora interna en
cuestión?

Es un sistema operativo basado en Windows

Parte 2: Obtener información sobre el ataque

a. Según Snort, ¿cuál es el kit de ataque (exploit kit, EK) en uso?

b. ¿Qué es un kit de ataque?

Es un software que está diseñado para los servidores y verificar si no tiene vulnerabilidades
de software o en las máquinas clientes que mantiene en comunicación, además los kit de
ataques tiene un propósito de generar nuevas vulnerabilidades y a su vez eliminar
vulnerabilidades existentes.

c. Realicen una búsqueda rápida en Google de “Angler EK” para conocer los
conceptos básicos del kit de ataque. Resuman lo que encuentren y anótelo aquí.

Angler Exploit Kit es uno de los «cócteles» maliciosos para ransomware más potentes que
existen. Una vez que el kit encuentra en el equipo atacado una aplicación vulnerable tal
Adobe Flash el kit ofrece sus cargas útiles maliciosas, de acuerdo con una entrada
publicada por Heimdal Security.
La primera carga útil infecta el PC de la víctima con un ladrón de datos ampliamente
utilizado conocido como Pony
La segunda carga útil activa el ampliamente utilizado ransomware CryptoWall 4.0 que
bloquea los archivos de usuario hasta que se pague el rescate elegido, con un cifrado fuerte
casi irrompible.

d. ¿Este ataque se corresponde con la definición de un kit de ataque? Indiquen


ejemplos de los eventos que ven en SGUIL.
Los kit de ataques se utilizan para los sitios web además pueden escanear los hosts para
buscar varias vulnerabilidades y luego ser descargado en software malicioso.Troyano,
Angle EK.

e. ¿Cuáles son las principales etapas de los kits de ataque?

El contacto: como las páginas web, puede ser por spam, o correo electrónico no deseado.
Redireccionados: apuntamos a una dirección específica
Exploit: Ver la página de la víctima para hacer el exploit
Infeccion: por último se realiza la infección en la máquina final.

Parte 3: Determinar el origen del malware

a. En el contexto de los eventos que se muestran en SGUIL para este ataque, anoten
las direcciones IP involucradas a continuación.
192.168.0.12
173.201.198.128
208.113.226.171
209.126.97.209
192.168.0.1
192.99.108.158
93.114.64.118
b. El primer evento nuevo que se muestra en SGUIL contiene el siguiente mensaje:
“ET Policy Outdated Flash Version M1” (“Política de ET desactualizada; versión M1 de
Flash”). ¿A qué host se refiere el evento? ¿Qué implica ese evento?

Al host que se refiere es al siguiente:

Implica que es una actualización de la página de adobe, donde utiliza un flash


desactualizado, que viola una política de seguridad.

c. Según SGUIL, ¿cuál es la dirección IP del host que parece haber aplicado el
ataque?
192.99.198.158

d. Desde SGUIL, abran la transcripción de la transacción. ¿Cuál es el nombre de


dominio asociado con la dirección IP del host que parece haber aplicado el ataque?

El dominio es: qwe.mvdunalterableairreport.net

e. Este kit de ataque habitualmente tiene como objetivo vulnerabilidades en tres


aplicaciones de software, ¿cuáles?

Adobe flash player


Microsoft Silverlight
Ejecución de Java

f. En función de los eventos de SGUIL, ¿qué vulnerabilidades parece haber utilizado


el kit de ataque?
flash desactualizado
g. ¿Cuál es el tipo de archivo más común relacionado con ese software vulnerable?

Los que tienen relación con Flash .fla y Java, los scrip AS, xml

h. Utilicen ELSA para reunir más evidencia que respalde la hipótesis de que el host
que identificaron antes aplicó el malware. Abran ELSA y generen una lista de todos
los hosts que descargaron el tipo de archivo antes mencionado. Recuerden ajustar el
período según corresponda. ¿Pudieron encontrar más evidencias? Si es así, anoten
lo que encontraron aquí.

Si pudimos encontrar más evidencias, las cuales las pondremos a continuación:


i. En este momento deberían saber, con cierto nivel de certeza, si el sitio que se
incluye en la Parte 3b y en la Parte 3c aplicó el malware. Anoten sus conclusiones a
continuación.

192.168.0.12 posiblemente este infectado en la cual tiene una version que esta
actualizada que es el flash además fue descargado un archivo malicioso en la cual
es qwe.mvdunalterableairreport.net

Parte 4: Analizar detalles del ataque

a. Los kits de ataque a menudo dependen de una página de inicio de sesión que se
utiliza para escanear el sistema de la víctima en busca de vulnerabilidades y para
exfiltrar una lista de esas vulnerabilidades. Utilicen ELSA para determinar si el kit de
ataque en cuestión utilizó una página de inicio de sesión. Si es así, ¿cuáles son su
URL y su dirección IP? ¿Cuál es la evidencia? Pista: Los dos primeros eventos de
SGUIL contienen muchas pistas. .

173.201.198.128
SRC: Host: lifeinsidedetroit.com
Nombre del Servidor:SRC: POST /02024870e4644b68814aadfbb58a75bc.php
Datos exfiltrado:8bd3799ee8799332593b0b9caa1f426
URL Completa::SRC: POST /02024870e4644b68814aadfbb58a75bc.php?
q=8bd3799ee8799332593b0b9caa1f426 HTTP/1.1

Este Software malicioso está diseñado para realizar análisis de la computadora y exfiltrar
los datos a la página de inicio de EK.El flash envía a través de un POST a un script que es
de PHP que esta en la siguiente direccion: lifeinsidedetroit.com que esta es una direccion de
destino.A su vez recopila la información del ataque con las vulnerabilidades que tiene.

b. ¿Cuál es el nombre de dominio que aplicó el kit de ataque y la carga útil del
malware?

URI: http://qwe.mvdunalterableairreport.net/3xdz3bcxc8

c. ¿Cuál es la dirección IP que aplicó el kit de ataque y la carga útil del malware?

192.99.198.158
d. Desde los eventos en SGUIL, abran Wireshark y exportan los archivos de los
paquetes capturados tal como se hizo en una práctica de laboratorio anterior. ¿Qué
archivos o programas pudieron exportar con éxito?

3xdz3bcxc8

También podría gustarte