SlideShare una empresa de Scribd logo

Write up desafio 20 eset

J
jeysonh

Este documento presenta un caso en el que un usuario es sospechoso de robar información en su lugar de trabajo. Se analiza una captura de red del usuario para determinar si descargó archivos de un sitio de alojamiento de archivos y responder tres preguntas sobre sus acciones y si es culpable. El análisis muestra que el usuario descargó un archivo ZIP protegido con contraseña de un sitio de alojamiento de archivos, el cual contenía solo un mensaje inofensivo, por lo que no se puede determinar si es culpable o inocente con certeza.

1 de 4
Descargar para leer sin conexión
1
2
3
4
InterCEPTeam, Write Up Reto #20 Eset-la.com by MuR@No Este es un write plantea mi solución a este reto, el cual consiste en una captura de red en formato .pcap, la cual contiene el tráfico de una estación de trabajo. Descripción del Reto En esta ocasión el grupo de seguridad de una empresa, realizó una captura de tráfico a un usuario que se sospecha que se encuentra robando información. El grupo nos pidió que analizáramos la captura de red e informar si el usuario es culpable del robo. El desafío 20 consiste en responder las siguientes preguntas: • ¿Cuál es la acción que realiza el usuario sospechado, en el tráfico de red? • ¿En la captura, se puede extraer algún tipo de información? • ¿El usuario es culpable o inocente? El archivo interceptado por el grupo de seguridad es el siguiente: desafio-20-ESET (contraseña: “eset-latinoamerica”; MD5:CFAAC0825D626B99C125A61AB2AF30B2). Solución Descargamos la captura y procedemos a analizarla con wireshark y observamos que la comunicación de la estación de trabajo en la red local identificada con la dirección ip 192.168.18.128 es en su mayor tiempo con el servidor identificado con la dirección ip 216.155.135.201. Mediante la herramienta nslookup consultamos por su registra “A” para saber cuál es su FQDN asociado, el cual nos devuelve web001.zshare.net.
Podemos observar que se trata de un servicio de File Hosting (www.zshare.net) el cual nos permite subir archivos y descargar además de generar un link el cual podemos compartir con cualquier persona para su descarga, con esto y según las preguntas planteadas en el reto se puede pensar que el individuo filtro algún tipo de información descargándole de este servidor. Veamos cómo obtener la url completa de descarga a través de wireshark por medio de filtros. http contains “www.zshare.net” el cual nos devuelve todos los resultados que coincidan con nuestro string buscado, la url completa para descarga del archivo es http://www.zshare.net/info.html?95549130 919ababbce0a66aff0c81160143ddca1, igualmente obtenemos el mismo resultado con ip.src 192.168.18.128 y revisamos los datos enviados a través de protocolo http por la maquina cliente.
El archivo descargado tiene como nombre privado.zip, pero al momento de desempaquetarlo nos pide una contraseña, para esto utilizamos un brute forcé para archivos .zip (Rarcrak) que se instala de la forma típica make, make install, se correo con la opciones por defecto rarcrack /home/t3st3r/Downloads/privado.zip --type zip RarCrack! 0.2 by David Zoltan Kedves (kedazo@gmail.com) INFO: the specified archive type: zip INFO: cracking /home/t3st3r/Downloads/privado.zip, status file: /home/t3st3r/Downloads/privado.zip.xml Probing: '7N' [181 pwds/sec] Probing: 'gY' [189 pwds/sec] Probing: 'qy' [198 pwds/sec] Probing: 'Ag' [200 pwds/sec] Probing: 'JW' [200 pwds/sec] Probing: 'SS' [184 pwds/sec] Probing: '02c' [192 pwds/sec] Probing: '0bw' [192 pwds/sec] Probing: '0kt' [185 pwds/sec] Probing: '0tS' [194 pwds/sec] Probing: '0D8' [191 pwds/sec] Probing: '0N6' [206 pwds/sec] Probing: '0WR' [201 pwds/sec] GOOD: password cracked: '100' Dentro se encuentra un archivo llamado Texto.txt y su contenido es “Que la fuerza te acompañe” Dando respuestas a las preguntas planteadas: 1. La acción realizada es la navegación a sitios de File Hosting y redes sociales, las cuales por políticas de la empresa pueden estar restringidas. 2. No directamente en la captura, siguiendo las conexiones del host implicado se ouede
descargar un archivo desde una web de file Hosting 3. No se puede determinar ya que el archivo en si solo cuenta con un mensaje inofensivo. Saludos MuR@No

Más contenido relacionado

PPTX
Ataques a bases de datos
Fernando Hernandez
 
ODP
Flisol Airacrack-ng
Web Developer
 
PPT
Seguridad bases de datos tracol 2
Luis Lizarazo Sandoval
 
PPTX
Hydra
Tensor
 
PDF
Bd practica 1.10
garciadebora
 
PDF
Ataque por inyección de código sql y sniffing
Magda Mayery Baquero Cardona
 
DOCX
1 verificación de paquetes de bind esté instalado con el comando 2
FEDERICO MENDEZ
 
PPTX
20120926 web perf-dns_v1
Sergim
 
Ataques a bases de datos
Fernando Hernandez
 
Flisol Airacrack-ng
Web Developer
 
Seguridad bases de datos tracol 2
Luis Lizarazo Sandoval
 
Hydra
Tensor
 
Bd practica 1.10
garciadebora
 
Ataque por inyección de código sql y sniffing
Magda Mayery Baquero Cardona
 
1 verificación de paquetes de bind esté instalado con el comando 2
FEDERICO MENDEZ
 
20120926 web perf-dns_v1
Sergim
 

La actualidad más candente (17)

ODT
Ftp
25nsm25
 
PDF
Aprendiendo REDIS en 20 minutos
Gonzalo Chacaltana
 
DOC
Java
javslno
 
PPTX
Como hacer arp spoofing e
Tensor
 
PDF
Construyendo Aplicaciones Web con PHP + LUA + REDIS
Gonzalo Chacaltana
 
PDF
Zen y el arte de pescar APT
Antonio Sanz Alcober
 
PDF
ownCloud en Linux - Bilal Jebari
bilaljbr
 
PPTX
Como hacer ARP Spoofing
Tensor
 
DOCX
Ejercicio 1
ramoncho2877
 
PPTX
CASSANDRA APACHE INSTALACION Y PRACTICA KevinZurita
Kevin Zurita
 
PDF
Tcpdump basico
Josu Orbe
 
PPT
Instalacion Postgres
ragmyl
 
RTF
Documento
jruizges
 
PDF
Configuracion
UTN
 
ODP
Pentesting Basico
Cuauhtémoc García Somera
 
PDF
Servidor DNS con IPv6 en Linux
Erick Cruz
 
PPT
Tcpdump
Tensor
 
Ftp
25nsm25
 
Aprendiendo REDIS en 20 minutos
Gonzalo Chacaltana
 
Java
javslno
 
Como hacer arp spoofing e
Tensor
 
Construyendo Aplicaciones Web con PHP + LUA + REDIS
Gonzalo Chacaltana
 
Zen y el arte de pescar APT
Antonio Sanz Alcober
 
ownCloud en Linux - Bilal Jebari
bilaljbr
 
Como hacer ARP Spoofing
Tensor
 
Ejercicio 1
ramoncho2877
 
CASSANDRA APACHE INSTALACION Y PRACTICA KevinZurita
Kevin Zurita
 
Tcpdump basico
Josu Orbe
 
Instalacion Postgres
ragmyl
 
Documento
jruizges
 
Configuracion
UTN
 
Pentesting Basico
Cuauhtémoc García Somera
 
Servidor DNS con IPv6 en Linux
Erick Cruz
 
Tcpdump
Tensor
 
Publicidad

Similar a Write up desafio 20 eset (20)

DOCX
Manual de uso_de_squid
César Ramiro Martinez
 
PDF
Workshop Seguridad Wireless
Jaime Restrepo
 
PDF
Practicas hackx crack_05
Aldo Jamir Leone Icaza
 
PDF
Guia instalacion y configuracion nagios
Pedro Alcaraz Díaz
 
PPT
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
PDF
Administración de red servidores y seguridad
Emilio
 
PPTX
Auditoría wireless
ruben0909
 
PDF
Airbase y KARMetasploit
Daniel
 
PDF
Crack redes wifi
jjhonathan25
 
DOC
Proyecto 6
Jose Luis Ruiz Perez
 
PPTX
Seguridad de las Redes
AlexanderGarcia243
 
PDF
WEP
aliloinomedle
 
PDF
Taller
campus party
 
PDF
Un caso Forense: La Red y la Memoria RAM
Eventos Creativos
 
DOCX
REDES INALAMBRICAS
Dennis Burgos
 
PDF
(Configuración de hardware y software de una red que consta de 7 equipos)
azu-r-g-c
 
PDF
Propietario
IsraelIvanGarcaLpez
 
PPT
iPhone + Botnets = Fun
David Barroso
 
PPTX
M2 com practico_arodri
arodri7703
 
PDF
T3 practica 2 ipcop
puente82
 
Manual de uso_de_squid
César Ramiro Martinez
 
Workshop Seguridad Wireless
Jaime Restrepo
 
Practicas hackx crack_05
Aldo Jamir Leone Icaza
 
Guia instalacion y configuracion nagios
Pedro Alcaraz Díaz
 
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
Administración de red servidores y seguridad
Emilio
 
Auditoría wireless
ruben0909
 
Airbase y KARMetasploit
Daniel
 
Crack redes wifi
jjhonathan25
 
Proyecto 6
Jose Luis Ruiz Perez
 
Seguridad de las Redes
AlexanderGarcia243
 
WEP
aliloinomedle
 
Taller
campus party
 
Un caso Forense: La Red y la Memoria RAM
Eventos Creativos
 
REDES INALAMBRICAS
Dennis Burgos
 
(Configuración de hardware y software de una red que consta de 7 equipos)
azu-r-g-c
 
Propietario
IsraelIvanGarcaLpez
 
iPhone + Botnets = Fun
David Barroso
 
M2 com practico_arodri
arodri7703
 
T3 practica 2 ipcop
puente82
 
Publicidad

Más de jeysonh (7)

PDF
Ltsp linux terminal server project-
jeysonh
 
PDF
Defeating whats app’s lack of privacy
jeysonh
 
PPTX
Análisis forense metadatos
jeysonh
 
PDF
Operadores relacionales y lógicos en c++
jeysonh
 
PDF
Introducción al hacking
jeysonh
 
PPTX
Bring Your Own Device
jeysonh
 
PDF
Introducción al la virtualization
jeysonh
 
Ltsp linux terminal server project-
jeysonh
 
Defeating whats app’s lack of privacy
jeysonh
 
Análisis forense metadatos
jeysonh
 
Operadores relacionales y lógicos en c++
jeysonh
 
Introducción al hacking
jeysonh
 
Bring Your Own Device
jeysonh
 
Introducción al la virtualization
jeysonh
 

Write up desafio 20 eset

  • 1. InterCEPTeam, Write Up Reto #20 Eset-la.com by MuR@No Este es un write plantea mi solución a este reto, el cual consiste en una captura de red en formato .pcap, la cual contiene el tráfico de una estación de trabajo. Descripción del Reto En esta ocasión el grupo de seguridad de una empresa, realizó una captura de tráfico a un usuario que se sospecha que se encuentra robando información. El grupo nos pidió que analizáramos la captura de red e informar si el usuario es culpable del robo. El desafío 20 consiste en responder las siguientes preguntas: • ¿Cuál es la acción que realiza el usuario sospechado, en el tráfico de red? • ¿En la captura, se puede extraer algún tipo de información? • ¿El usuario es culpable o inocente? El archivo interceptado por el grupo de seguridad es el siguiente: desafio-20-ESET (contraseña: “eset-latinoamerica”; MD5:CFAAC0825D626B99C125A61AB2AF30B2). Solución Descargamos la captura y procedemos a analizarla con wireshark y observamos que la comunicación de la estación de trabajo en la red local identificada con la dirección ip 192.168.18.128 es en su mayor tiempo con el servidor identificado con la dirección ip 216.155.135.201. Mediante la herramienta nslookup consultamos por su registra “A” para saber cuál es su FQDN asociado, el cual nos devuelve web001.zshare.net.
  • 2. Podemos observar que se trata de un servicio de File Hosting (www.zshare.net) el cual nos permite subir archivos y descargar además de generar un link el cual podemos compartir con cualquier persona para su descarga, con esto y según las preguntas planteadas en el reto se puede pensar que el individuo filtro algún tipo de información descargándole de este servidor. Veamos cómo obtener la url completa de descarga a través de wireshark por medio de filtros. http contains “www.zshare.net” el cual nos devuelve todos los resultados que coincidan con nuestro string buscado, la url completa para descarga del archivo es http://www.zshare.net/info.html?95549130 919ababbce0a66aff0c81160143ddca1, igualmente obtenemos el mismo resultado con ip.src 192.168.18.128 y revisamos los datos enviados a través de protocolo http por la maquina cliente.
  • 3. El archivo descargado tiene como nombre privado.zip, pero al momento de desempaquetarlo nos pide una contraseña, para esto utilizamos un brute forcé para archivos .zip (Rarcrak) que se instala de la forma típica make, make install, se correo con la opciones por defecto rarcrack /home/t3st3r/Downloads/privado.zip --type zip RarCrack! 0.2 by David Zoltan Kedves (kedazo@gmail.com) INFO: the specified archive type: zip INFO: cracking /home/t3st3r/Downloads/privado.zip, status file: /home/t3st3r/Downloads/privado.zip.xml Probing: '7N' [181 pwds/sec] Probing: 'gY' [189 pwds/sec] Probing: 'qy' [198 pwds/sec] Probing: 'Ag' [200 pwds/sec] Probing: 'JW' [200 pwds/sec] Probing: 'SS' [184 pwds/sec] Probing: '02c' [192 pwds/sec] Probing: '0bw' [192 pwds/sec] Probing: '0kt' [185 pwds/sec] Probing: '0tS' [194 pwds/sec] Probing: '0D8' [191 pwds/sec] Probing: '0N6' [206 pwds/sec] Probing: '0WR' [201 pwds/sec] GOOD: password cracked: '100' Dentro se encuentra un archivo llamado Texto.txt y su contenido es “Que la fuerza te acompañe” Dando respuestas a las preguntas planteadas: 1. La acción realizada es la navegación a sitios de File Hosting y redes sociales, las cuales por políticas de la empresa pueden estar restringidas. 2. No directamente en la captura, siguiendo las conexiones del host implicado se ouede
  • 4. descargar un archivo desde una web de file Hosting 3. No se puede determinar ya que el archivo en si solo cuenta con un mensaje inofensivo. Saludos MuR@No