SlideShare una empresa de Scribd logo

27.2.16 Lab - Investigating an Attack on a Windows Host.docx

Descargar como DOCX, PDF
J
jesus521837

Este documento describe un laboratorio sobre la investigación de un ataque a un host de Windows. El objetivo es investigar el ataque usando Sguil e identificar la hora del ataque, el host infectado, el usuario y el malware involucrado. Luego, se usa Kibana para investigar más alertas relacionadas. Se identifican dos archivos ejecutables descargados que resultan ser malware conocido. También se encuentra evidencia de comunicación de un troyano Remcos.

Ingeniería
1 de 9
Descargar para leer sin conexión
1
2
Lo más leído
3
Lo más leído
4
Lo más leído
5
6
7
8
9
 2020 -2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 9 www.netacad.com Laboratorio - Investigación de un ataque en un host de Windows Objetivos En esta práctica de laboratorio: Parte 1: Investigue el ataque con Sguil Parte 2: Usa Kibana para investigar alertas Esta práctica de laboratorio se basa en un ejercicio del sitio web malware-traffic-analysis.net que es un excelente recurso para aprender a analizar los ataques de red y host. Gracias a brad@malware-traffic- analysis.net por el permiso para usar materiales de su sitio. Aspectos básicos/Situación En marzo de 2019, las herramientas de supervisión de seguridad de red alertaron de que un equipo Windows de la red estaba infectado con malware. En esta tarea, debe investigar las alertas y responder a las siguientes preguntas:  ¿Cuál fue la hora específica del ataque en 2019-03-19?  ¿Qué equipo host de Windows se infectó? ¿Quién era el usuario?  ¿Con qué estaba infectada la computadora? Recursos necesarios  En mi máquina virtual de Security Onion  Acceso a Internet Instrucciones Parte 1: Investiga el ataque con Sguil En la Parte 1, usará Sguil para comprobar las alertas de IDS y recopilar más información sobre la serie de eventos relacionados con un ataque del 3-19-2019. Nota: Los ID de alerta utilizados en este laboratorio son únicamente ilustrativos. Las alertas IDs en su MV (máquina virtual) pueden ser diferentes. Paso 1: Abra Sguil y localice las alertas en 3-19-2019. a. Inicie sesión en Security Onion VM con el nombre de usuario analyst y la contraseña cyberops. b. Inicie Sguil desde el escritorio. Inicie sesión con username analyst and password cyberops. Haga clic en Seleccionar todo e Iniciar Sguil para ver todas las alertas generadas por los sensores de red. c. Localice el grupo de alertas a partir del 19 de marzo de 2019. Pregunta: Según Sguil, ¿cuáles son las marcas de tiempo para la primera y última de las alertas que ocurrieron el 3-19-2019? ¿Qué es interesante acerca de las marcas de tiempo de todas las alertas del 3-19-2019? 01:45:03 a 04:54:34. Las alertas muestran actividad sospechosa durante un poco más de 3 horas, pero la mayoría de las alertas se produjeron durante un poco más de 3 minutos y 43 segundos.
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 9 www.netacad.com Paso 2: Revise las alertas en detalle. a. En Sguil, haga clic en la primera de las alertas del 3-19-2019 (ID de alerta 5.439). Asegúrese de marcar las casillas de verificación Mostrar datos del paquete y Mostrar regla para examinar la información del encabezado del paquete y la regla de firma IDS relacionada con la alerta. Clic derecho en el ID de alerta y pivote hacia Wireshark. Sobre la base de la información derivada de esta alerta inicial, responda a las siguientes preguntas: Preguntas: ¿Cuál era la dirección IP de origen y el número de puerto y la dirección IP de destino y el número de puerto? Origen: 10.0.90.215:52609, Destino: 10.0.90.9:53 ¿Qué tipo de protocolo y solicitud o respuesta estuvo involucrado? UDP, DNS Dinámico, actualización y respuesta ¿Qué es la alerta y el mensaje de IDS? Alerta udp $EXTERNAL_NET cualquiera -> $HOME_NET 53, mensaje: “ET POLICY DNS Update from External net ¿Cree que esta alerta fue el resultado de una mala configuración de IDS o de una comunicación sospechosa legítima? Esta alerta puede ser el resultado de una configuración incorrecta en el IDS porque la solicitud de DNS fue una actualización de DNS dinámico de un host interno a un servidor DNS en la red interna y no de una red externa a la red interna. ¿Cuál es el nombre de host, el nombre de dominio y la dirección IP del host de origen en la actualización DNS? Bobby-Tiger-PC, littletigers.info, 10.0.90.215 b. En Sguil, seleccione la segunda de las alertas del 3-19-2019. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. De la trasncripción responda las siguientes preguntas. Preguntas: ¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino?
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 9 www.netacad.com Origen 10.0.90.215:49204 y Destino 209.141.34.8:80 Mirando la solicitud (azul) ¿para qué fue la solicitud? OBTENER /test1.exe Al mirar la respuesta (roja), muchos archivos revelarán su firma en los primeros caracteres del archivo cuando se vean como texto. Las firmas de archivo ayudan a identificar el tipo de archivo que se representa. Utilice un explorador web para buscar una lista de firmas de archivo comunes. Pregunta: ¿Cuáles son los primeros caracteres del archivo? ¿Busca esta firma de archivo para averiguar qué tipo de archivo se ha descargado en los datos? Los caracteres iniciales de este campo son MZ, un archivo ejecutable de Windows .exe o .dll c. Cierre la transcripción. Utilice Wireshark para exportar el archivo ejecutable para el análisis de malware (Archivo > Exportar objetos > HTTP...). Guarde el archivo en la carpeta principal del analista. d. Abra un terminal en Security Onion VM y cree un hash SHA256 desde el archivo exportado. Use el siguiente comando: analyst @SecOnion: ~$ sha256sum test1.exe 2a9b0ed40f1f0bc0c13ff35d304689e9cadd633781cbcad1c2d2b92ced3f1c85 test1.exe e. Copie el hash del archivo y envíelo al centro de reputación de archivos Talos de Cisco en https://talosintelligence.com/talos_file_reputation. Pregunta: ¿Reconoció Talos el hash del archivo y lo identificó como malware? Si es así, ¿qué tipo de malware? Sí, win32 trojan-spy-agent
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 9 www.netacad.com f. En Sguil, seleccione la alerta con Alert ID 5.480 y el Event Message Remcos RAT Checkin 23. Observe que la firma IDS ha detectado la RAT Remcos basada en los códigos hexadecimales binarios al comienzo de la comunicación. g. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. Desplácese por la transcripción y responda a las siguientes preguntas: Preguntas: ¿Cuál es el puerto de destino de la comunicación? ¿Es este un puerto conocido? El puerto de destino es 2404 y no es un puerto muy conocido. ¿Es legible la comunicación o está encriptada? esta encriptado Haga algunas investigaciones en línea sobre Remcos RAT Checkin 23. ¿Qué hace Remcos? Software de vigilancia y control remoto ¿Qué tipo de comunicación crees que se estaba transmitiendo? Un keylogger que posiblemente envíe información de pulsaciones de teclas a un servidor C2C ¿Qué tipo de encriptación y ofuscación se usó para eludir la detección? Remcos RAT utiliza múltiples empacadores, codificación base64 y encriptación RC4 para eludir la detección y descartar a los analistas de seguridad. h. Usando Sguil y las alertas restantes del 3-19-2019, localice el segundo archivo ejecutable que se descargó y compruebe si se trata de malware conocido. Preguntas: ¿Qué ID alerta a un segundo archivo ejecutable que se está descargando? Las respuestas pueden variar. En este ejemplo, 5.483, 5.485, 5.497, 5.509, 5.521, 5.533 ¿Desde qué dirección IP del servidor y número de puerto se descargó el archivo? 217.23.14.81:80 ¿Cuál es el nombre del archivo que se ha descargado? F4.exe
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 9 www.netacad.com Cree un hash SHA256 del archivo y envíe el hash en línea en el Centro de Reputación de Archivos de Talos de Cisco para ver si coincide con el malware conocido. ¿Es el archivo ejecutable malware conocido y, en caso afirmativo, de qué tipo? ¿Cuáles el nombre de la detección de AMP? Sí, ejecutable PE32, descargador de troyanos Win.Dropper.Cridex::1201 i. Examine las tres alertas restantes del 3-19-2019 mirando la información del encabezado en Mostrar datos del paquete, la firma IDS en Mostrar regla y las transcripciones de ID de alerta. Pregunta: ¿Cómo se relacionan las tres alertas? Las tres alertas están encriptadas y las tres alertas fueron activadas por un certificado SSL malicioso incluido en la lista negra: Dridex j. Aunque ha examinado todas las alertas de Sguil relacionadas con un ataque a un host de Windows el 3- 19-2019, puede haber información relacionada adicional disponible en Kibana. Cierre Sguil e inicie Kibana desde el escritorio. Parte 2: Usar Kibana para investigar alertas En la Parte 2, use Kibana para investigar más a fondo el ataque del 3-19-2019. Paso 1: Abre Kibana y reduce el plazo. a. Inicie sesión en Kibana VM con el nombre de usuario analyst y la contraseña cyberops b. Abra Kibana (analyst de nombre de usuario y ciberops de contraseña), haga clic en Últimas 24 horas y en la pestaña Intervalo de tiempo absoluto para cambiar el intervalo de tiempo al 1 de marzo de 2019 al 31 de marzo de 2019. c. La línea de tiempo Recuento total de registros a lo largo del tiempo mostrará un evento el 19 de marzo. Haga clic en ese evento para limitar el enfoque al intervalo de tiempo específico del ataque.
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 6 de 9 www.netacad.com Paso 2: Revise las alertas en el marco de tiempo reducido. a. En el panel de control de Kibana, desplácese hacia abajo hasta la visualización Todos los sensores - Tipo de registro. Revise ambas páginas y tenga en cuenta la variedad de tipos de registro relacionados con este ataque. b. Desplácese hacia abajo y observe que el Resumen de Alertas de NIDS en Kibana tiene muchas de las mismas alertas de IDS que aparecen en Sguil. Haga clic en la lupa para filtrar en la segunda alerta ET TROJAN ABUSE.CH SSL Lista negra Certificado SSL malintencionado detectado (Dridex) de la dirección IP de origen 31.22.4.176.
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 7 de 9 www.netacad.com c. Desplácese hacia abajo hasta Todos los registros y haga clic en la flecha para expandir el primer registro de la lista con la dirección IP de origen 31.22.4.176. Preguntas: ¿Cuál es el geopaís y la ubicación de la ciudad para esta alerta? Reino Unido, Newcastle-upon-Tyne ¿Cuál es el país y la ciudad geográficos para la alerta de 115.112?43.81? India, Bombay d. Desplácese hacia atrás hasta la parte superior de la página y haga clic en el enlace Inicio en Navegación. e. Anteriormente notamos tipos de registro como bro_http enumerados en el panel de inicio. Puede filtrar por los distintos tipos de registro, pero los paneles integrados probablemente tendrán más información. Desplácese hacia atrás a la parte superior de la página y haga clic en HTTP en el enlace del panel bajo Zeek Hunting in Navigation. f. Desplácese por el panel HTTP tomando nota de la información presentada y responda a las siguientes preguntas: Preguntas:
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 8 de 9 www.netacad.com ¿Qué es el recuento de registros en el panel HTTP? ¿De qué países? 4, Estados Unidos y Holanda ¿Cuáles son los URI de los archivos descargados? /f4.exe, /ncsi.txt, /pki/crl/products/CSPCA.crl y /test1.exe g. Haga coincidir los URI HTTP con los sitios HTTP - en el panel de control. Pregunta: ¿A qué están relacionados los archivos CSPCA.crl y ncsi.txt? Utilice un navegador web y un motor de búsqueda para obtener información adicional. CSPCA.crl es una solicitud para la lista de revocación de certificados de Microsoft y ncsi.txt se refiere al indicador de estado de conexión de red y los hosts de Windows lo utilizan automáticamente como una autocomprobación para verificar la conectividad en línea. Enlaces de referencia para obtener más información: https://superuser.com/questions/427967/what-would-http-crl-microsoft-com-pki-crl-products-cspca-crl-be- used-for https://campus .barracuda.com/product/websecuritygateway/knowledgebase/50160000000auwRAAQ/should-i-block- http-www-msftncsi-com-ncsi-txt-on-my-barracuda-product/ h. Desplácese hacia atrás hasta la parte superior de la página web y en Navegación - Zeek Hunting haga clic en DNS. Desplácese hasta la visualización de consultas DNS. Observe la página 1 y página 3 de las consultas DNS. ¿Alguno de los dominios parece potencialmente inseguro? Intente enviar la URL toptoptop1.online a virustotal.com. ¿Cuál es el resultado? 4 motores de detección reconocen la URL como maliciosa con respecto al malware
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 9 de 9 www.netacad.com Escriba sus respuestas aquí. i. Para más investigación, intente examinar los siguientes paneles de Zeek Hunting: DCE/RPC: para obtener información sobre los procedimientos remotos de la red de Windows y los recursos involucrados Kerberos: para obtener información sobre los nombres de host y los nombres de dominio que se utilizaron PE: para obtener información sobre los ejecutables portátiles SSL y x.509: para obtener información sobre los nombres de los certificados de seguridad y los países que se utilizaron SMB : para obtener más información sobre las acciones de SMB en la red de littletigers Weird: para anomalías de protocolo y servicio y comunicaciones mal formadas Fin del documento

Más contenido relacionado

PDF
27.2.15 lab investigating a malware exploit
Freddy Buenaño
 
PDF
CCNP Security-Secure
mohannadalhanahnah
 
PDF
27.2.12 lab interpret http and dns data to isolate threat actor
Freddy Buenaño
 
PDF
Support formation vidéo : Cisco ASA, configuration
SmartnSkilled
 
PDF
vlan
Sunrise Dawn
 
PDF
Introducción a Asterisk
Saúl Ibarra Corretgé
 
PDF
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Francisco Medina
 
PDF
2.3. Configuracion ACLs IPv4
David Narváez
 
27.2.15 lab investigating a malware exploit
Freddy Buenaño
 
CCNP Security-Secure
mohannadalhanahnah
 
27.2.12 lab interpret http and dns data to isolate threat actor
Freddy Buenaño
 
Support formation vidéo : Cisco ASA, configuration
SmartnSkilled
 
vlan
Sunrise Dawn
 
Introducción a Asterisk
Saúl Ibarra Corretgé
 
Actividad No. 1.11: SQL Injection con sqlmap en Kali Linux
Francisco Medina
 
2.3. Configuracion ACLs IPv4
David Narváez
 

La actualidad más candente (20)

PDF
Support cours : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
 
PPTX
Ensa module 3 (1)
Marco Antonio Perelli Henríquez
 
PDF
Subneteo con vlsm ejercicios clases a,b,c
Manuel Tapia Cruz
 
PDF
Industrial Control System Cyber Security and the Employment of Industrial Fir...
Schneider Electric
 
PPTX
Cisco umbrella youtube
Dhruv Sharma
 
PDF
Wireless Network Security Palo Alto Networks / Aruba Networks Integration
Aruba, a Hewlett Packard Enterprise company
 
PDF
Wi-fi Hacking
Paul Gillingwater, MBA
 
PDF
6.5.1.2 packet tracer layer 2 security instructor
Salem Trabelsi
 
PDF
DOS, DDOS Atakları ve Korunma Yöntemleri
BGA Cyber Security
 
PDF
Cisco ASA
Thomas Moegli
 
PDF
Eigrp.ppt
Edgardo Scrimaglia
 
PPTX
CCNA 2 Routing and Switching v5.0 Chapter 11
Nil Menon
 
DOCX
Packet Tracer: Load Balancing with GLBP and FHRP
Rafat Khandaker
 
PDF
Snort IPS
Simone Tino
 
PDF
GNS3 instalación, configuración, ipv4, ipv6
Alex Vasquez
 
PDF
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
PDF
01 b. Repaso subredes IPv4
David Narváez
 
PPTX
ENSA_Module_3.pptx
SkyBlue659156
 
PPTX
Vlans
dannyvelasco
 
PDF
Ekahau
Marc
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
 
Ensa module 3 (1)
Marco Antonio Perelli Henríquez
 
Subneteo con vlsm ejercicios clases a,b,c
Manuel Tapia Cruz
 
Industrial Control System Cyber Security and the Employment of Industrial Fir...
Schneider Electric
 
Cisco umbrella youtube
Dhruv Sharma
 
Wireless Network Security Palo Alto Networks / Aruba Networks Integration
Aruba, a Hewlett Packard Enterprise company
 
Wi-fi Hacking
Paul Gillingwater, MBA
 
6.5.1.2 packet tracer layer 2 security instructor
Salem Trabelsi
 
DOS, DDOS Atakları ve Korunma Yöntemleri
BGA Cyber Security
 
Cisco ASA
Thomas Moegli
 
Eigrp.ppt
Edgardo Scrimaglia
 
CCNA 2 Routing and Switching v5.0 Chapter 11
Nil Menon
 
Packet Tracer: Load Balancing with GLBP and FHRP
Rafat Khandaker
 
Snort IPS
Simone Tino
 
GNS3 instalación, configuración, ipv4, ipv6
Alex Vasquez
 
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
01 b. Repaso subredes IPv4
David Narváez
 
ENSA_Module_3.pptx
SkyBlue659156
 
Vlans
dannyvelasco
 
Ekahau
Marc
 
Publicidad

Similar a 27.2.16 Lab - Investigating an Attack on a Windows Host.docx (20)

DOCX
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
jesus521837
 
PDF
Lab1.4.5
UNAD
 
PDF
Base de la infraestructura tecnica y proteccion de activos de informacion
Maestros en Linea
 
PPTX
SEGURIDAD DE SIPOSITIVOS TECNOLOGICOS.pptx
JosueMedrano13
 
PDF
Mitigando el ciber riesgo on una plataforma de seguridad integrada
Cristian Garcia G.
 
PPTX
Trabajo n°4 auditoria de sistemas
yisdan
 
DOCX
Que aprendi
Jovani Lino
 
PDF
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Leidy Reyes Rodriguez
 
PPTX
Csa summit presentacion crozono
CSA Argentina
 
PDF
Trabajo servicios en red 1ª evaluación
josemari28
 
ODP
Sunu
J Lds
 
ODP
Seguridad informatica
J Lds
 
PDF
Base de la infraestructura tecnica y proteccion de activos de informacion
Maestros Online
 
PPTX
Dns spoofing kali linux
Jasvleidy Fajardo
 
PDF
Seguridad en redes i
Maestros en Linea MX
 
PDF
2015 2-prácticas gns3
Francisco Medina
 
PDF
2015 2-Prácticas GN3
Francisco Medina
 
PDF
Reporte anual de seguridad Cisco 2018
ITSitio.com
 
PDF
Taller de seguridad informatica
santiramirez17
 
DOCX
Respuestas
Hadassa HAdassa
 
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
jesus521837
 
Lab1.4.5
UNAD
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Maestros en Linea
 
SEGURIDAD DE SIPOSITIVOS TECNOLOGICOS.pptx
JosueMedrano13
 
Mitigando el ciber riesgo on una plataforma de seguridad integrada
Cristian Garcia G.
 
Trabajo n°4 auditoria de sistemas
yisdan
 
Que aprendi
Jovani Lino
 
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Leidy Reyes Rodriguez
 
Csa summit presentacion crozono
CSA Argentina
 
Trabajo servicios en red 1ª evaluación
josemari28
 
Sunu
J Lds
 
Seguridad informatica
J Lds
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Maestros Online
 
Dns spoofing kali linux
Jasvleidy Fajardo
 
Seguridad en redes i
Maestros en Linea MX
 
2015 2-prácticas gns3
Francisco Medina
 
2015 2-Prácticas GN3
Francisco Medina
 
Reporte anual de seguridad Cisco 2018
ITSitio.com
 
Taller de seguridad informatica
santiramirez17
 
Respuestas
Hadassa HAdassa
 
Publicidad

Último (20)

PPTX
MODULO 2. METODOLOGIAS PARA ANALISIS DE RIESGOS 2da Parte.pptx
HectorCabezas15
 
PDF
5 Presentación de PowerPointGENERACIÓN DESECHOS UIS 18-02-2023 (1).pdf
AlbaConsueloRamirezM
 
PDF
marco legar de la gestion tecnologica en venezuela
yeffersonreyes1
 
DOCX
CONCEPTOS BASICOS DE LA PROGRAMACION STEP
juanmam210
 
PDF
Electricidad-Estatica-Peligros-Prevencion.pdf
CristianPerez151938
 
PDF
Sugerencias Didacticas 2023_Diseño de Estructuras Metalicas_digital.pdf
ParaVerPeliculas
 
PDF
SUBDIVISIÓN URBANA PUEDE ENFRENTAR SERVIDUMBRE DE PASO.pdf
JuanLuis188
 
PDF
Marcos legales de la gestion tecnologica en venezuela yefferson reyes.pdf
yeffersonreyes1
 
PDF
FIJA NUEVO TEXTO DE LA ORDENANZA GENERAL DE LA LEY GENERAL DE URBANISMO Y CON...
FabiolaVeraPeralta1
 
PDF
TESTAMENTO DE DESCRIPTIVA ..............
guerrerotvdying
 
PPTX
GEOLOGIA, principios , fundamentos y conceptos
inricortes93
 
PDF
Guia_para_la_elaboracion_de_un_plan_de_contingencia.pdf
FredyNuez11
 
PDF
CI digitales -1. Introduccion 2024-25.pdf
el443438
 
PPTX
Seminario de telecomunicaciones para ingeniería
MscDouglasGonzlez
 
PDF
Estrategias de apoyo de tecnología 2do periodo pdf
edepsantiagoguerrero
 
PDF
presentacion sobre los polimeros, como se conforman
YAFETSOTOGALICIA
 
PPTX
Contexto Normativo NSR10, presentacion 2025
Andres Galvis Sarmiento
 
PDF
MATRIZ IDENTIFICACIÓN EVALUACION CONTROL PRL.pdf
cmirrhhconstrucmonti
 
PPTX
Presentacion_Palcoma_Alta energia solar eolica
T. M. Livio G. Dubs
 
PDF
COMPARACION DE LA NUEVA LEY DE CONTRATAIONES DEL ESTADO 30269.pdf
CesarWalde
 
MODULO 2. METODOLOGIAS PARA ANALISIS DE RIESGOS 2da Parte.pptx
HectorCabezas15
 
5 Presentación de PowerPointGENERACIÓN DESECHOS UIS 18-02-2023 (1).pdf
AlbaConsueloRamirezM
 
marco legar de la gestion tecnologica en venezuela
yeffersonreyes1
 
CONCEPTOS BASICOS DE LA PROGRAMACION STEP
juanmam210
 
Electricidad-Estatica-Peligros-Prevencion.pdf
CristianPerez151938
 
Sugerencias Didacticas 2023_Diseño de Estructuras Metalicas_digital.pdf
ParaVerPeliculas
 
SUBDIVISIÓN URBANA PUEDE ENFRENTAR SERVIDUMBRE DE PASO.pdf
JuanLuis188
 
Marcos legales de la gestion tecnologica en venezuela yefferson reyes.pdf
yeffersonreyes1
 
FIJA NUEVO TEXTO DE LA ORDENANZA GENERAL DE LA LEY GENERAL DE URBANISMO Y CON...
FabiolaVeraPeralta1
 
TESTAMENTO DE DESCRIPTIVA ..............
guerrerotvdying
 
GEOLOGIA, principios , fundamentos y conceptos
inricortes93
 
Guia_para_la_elaboracion_de_un_plan_de_contingencia.pdf
FredyNuez11
 
CI digitales -1. Introduccion 2024-25.pdf
el443438
 
Seminario de telecomunicaciones para ingeniería
MscDouglasGonzlez
 
Estrategias de apoyo de tecnología 2do periodo pdf
edepsantiagoguerrero
 
presentacion sobre los polimeros, como se conforman
YAFETSOTOGALICIA
 
Contexto Normativo NSR10, presentacion 2025
Andres Galvis Sarmiento
 
MATRIZ IDENTIFICACIÓN EVALUACION CONTROL PRL.pdf
cmirrhhconstrucmonti
 
Presentacion_Palcoma_Alta energia solar eolica
T. M. Livio G. Dubs
 
COMPARACION DE LA NUEVA LEY DE CONTRATAIONES DEL ESTADO 30269.pdf
CesarWalde
 

27.2.16 Lab - Investigating an Attack on a Windows Host.docx

  • 1.  2020 -2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 9 www.netacad.com Laboratorio - Investigación de un ataque en un host de Windows Objetivos En esta práctica de laboratorio: Parte 1: Investigue el ataque con Sguil Parte 2: Usa Kibana para investigar alertas Esta práctica de laboratorio se basa en un ejercicio del sitio web malware-traffic-analysis.net que es un excelente recurso para aprender a analizar los ataques de red y host. Gracias a brad@malware-traffic- analysis.net por el permiso para usar materiales de su sitio. Aspectos básicos/Situación En marzo de 2019, las herramientas de supervisión de seguridad de red alertaron de que un equipo Windows de la red estaba infectado con malware. En esta tarea, debe investigar las alertas y responder a las siguientes preguntas:  ¿Cuál fue la hora específica del ataque en 2019-03-19?  ¿Qué equipo host de Windows se infectó? ¿Quién era el usuario?  ¿Con qué estaba infectada la computadora? Recursos necesarios  En mi máquina virtual de Security Onion  Acceso a Internet Instrucciones Parte 1: Investiga el ataque con Sguil En la Parte 1, usará Sguil para comprobar las alertas de IDS y recopilar más información sobre la serie de eventos relacionados con un ataque del 3-19-2019. Nota: Los ID de alerta utilizados en este laboratorio son únicamente ilustrativos. Las alertas IDs en su MV (máquina virtual) pueden ser diferentes. Paso 1: Abra Sguil y localice las alertas en 3-19-2019. a. Inicie sesión en Security Onion VM con el nombre de usuario analyst y la contraseña cyberops. b. Inicie Sguil desde el escritorio. Inicie sesión con username analyst and password cyberops. Haga clic en Seleccionar todo e Iniciar Sguil para ver todas las alertas generadas por los sensores de red. c. Localice el grupo de alertas a partir del 19 de marzo de 2019. Pregunta: Según Sguil, ¿cuáles son las marcas de tiempo para la primera y última de las alertas que ocurrieron el 3-19-2019? ¿Qué es interesante acerca de las marcas de tiempo de todas las alertas del 3-19-2019? 01:45:03 a 04:54:34. Las alertas muestran actividad sospechosa durante un poco más de 3 horas, pero la mayoría de las alertas se produjeron durante un poco más de 3 minutos y 43 segundos.
  • 2. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 9 www.netacad.com Paso 2: Revise las alertas en detalle. a. En Sguil, haga clic en la primera de las alertas del 3-19-2019 (ID de alerta 5.439). Asegúrese de marcar las casillas de verificación Mostrar datos del paquete y Mostrar regla para examinar la información del encabezado del paquete y la regla de firma IDS relacionada con la alerta. Clic derecho en el ID de alerta y pivote hacia Wireshark. Sobre la base de la información derivada de esta alerta inicial, responda a las siguientes preguntas: Preguntas: ¿Cuál era la dirección IP de origen y el número de puerto y la dirección IP de destino y el número de puerto? Origen: 10.0.90.215:52609, Destino: 10.0.90.9:53 ¿Qué tipo de protocolo y solicitud o respuesta estuvo involucrado? UDP, DNS Dinámico, actualización y respuesta ¿Qué es la alerta y el mensaje de IDS? Alerta udp $EXTERNAL_NET cualquiera -> $HOME_NET 53, mensaje: “ET POLICY DNS Update from External net ¿Cree que esta alerta fue el resultado de una mala configuración de IDS o de una comunicación sospechosa legítima? Esta alerta puede ser el resultado de una configuración incorrecta en el IDS porque la solicitud de DNS fue una actualización de DNS dinámico de un host interno a un servidor DNS en la red interna y no de una red externa a la red interna. ¿Cuál es el nombre de host, el nombre de dominio y la dirección IP del host de origen en la actualización DNS? Bobby-Tiger-PC, littletigers.info, 10.0.90.215 b. En Sguil, seleccione la segunda de las alertas del 3-19-2019. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. De la trasncripción responda las siguientes preguntas. Preguntas: ¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino?
  • 3. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 9 www.netacad.com Origen 10.0.90.215:49204 y Destino 209.141.34.8:80 Mirando la solicitud (azul) ¿para qué fue la solicitud? OBTENER /test1.exe Al mirar la respuesta (roja), muchos archivos revelarán su firma en los primeros caracteres del archivo cuando se vean como texto. Las firmas de archivo ayudan a identificar el tipo de archivo que se representa. Utilice un explorador web para buscar una lista de firmas de archivo comunes. Pregunta: ¿Cuáles son los primeros caracteres del archivo? ¿Busca esta firma de archivo para averiguar qué tipo de archivo se ha descargado en los datos? Los caracteres iniciales de este campo son MZ, un archivo ejecutable de Windows .exe o .dll c. Cierre la transcripción. Utilice Wireshark para exportar el archivo ejecutable para el análisis de malware (Archivo > Exportar objetos > HTTP...). Guarde el archivo en la carpeta principal del analista. d. Abra un terminal en Security Onion VM y cree un hash SHA256 desde el archivo exportado. Use el siguiente comando: analyst @SecOnion: ~$ sha256sum test1.exe 2a9b0ed40f1f0bc0c13ff35d304689e9cadd633781cbcad1c2d2b92ced3f1c85 test1.exe e. Copie el hash del archivo y envíelo al centro de reputación de archivos Talos de Cisco en https://talosintelligence.com/talos_file_reputation. Pregunta: ¿Reconoció Talos el hash del archivo y lo identificó como malware? Si es así, ¿qué tipo de malware? Sí, win32 trojan-spy-agent
  • 4. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 9 www.netacad.com f. En Sguil, seleccione la alerta con Alert ID 5.480 y el Event Message Remcos RAT Checkin 23. Observe que la firma IDS ha detectado la RAT Remcos basada en los códigos hexadecimales binarios al comienzo de la comunicación. g. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. Desplácese por la transcripción y responda a las siguientes preguntas: Preguntas: ¿Cuál es el puerto de destino de la comunicación? ¿Es este un puerto conocido? El puerto de destino es 2404 y no es un puerto muy conocido. ¿Es legible la comunicación o está encriptada? esta encriptado Haga algunas investigaciones en línea sobre Remcos RAT Checkin 23. ¿Qué hace Remcos? Software de vigilancia y control remoto ¿Qué tipo de comunicación crees que se estaba transmitiendo? Un keylogger que posiblemente envíe información de pulsaciones de teclas a un servidor C2C ¿Qué tipo de encriptación y ofuscación se usó para eludir la detección? Remcos RAT utiliza múltiples empacadores, codificación base64 y encriptación RC4 para eludir la detección y descartar a los analistas de seguridad. h. Usando Sguil y las alertas restantes del 3-19-2019, localice el segundo archivo ejecutable que se descargó y compruebe si se trata de malware conocido. Preguntas: ¿Qué ID alerta a un segundo archivo ejecutable que se está descargando? Las respuestas pueden variar. En este ejemplo, 5.483, 5.485, 5.497, 5.509, 5.521, 5.533 ¿Desde qué dirección IP del servidor y número de puerto se descargó el archivo? 217.23.14.81:80 ¿Cuál es el nombre del archivo que se ha descargado? F4.exe
  • 5. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 9 www.netacad.com Cree un hash SHA256 del archivo y envíe el hash en línea en el Centro de Reputación de Archivos de Talos de Cisco para ver si coincide con el malware conocido. ¿Es el archivo ejecutable malware conocido y, en caso afirmativo, de qué tipo? ¿Cuáles el nombre de la detección de AMP? Sí, ejecutable PE32, descargador de troyanos Win.Dropper.Cridex::1201 i. Examine las tres alertas restantes del 3-19-2019 mirando la información del encabezado en Mostrar datos del paquete, la firma IDS en Mostrar regla y las transcripciones de ID de alerta. Pregunta: ¿Cómo se relacionan las tres alertas? Las tres alertas están encriptadas y las tres alertas fueron activadas por un certificado SSL malicioso incluido en la lista negra: Dridex j. Aunque ha examinado todas las alertas de Sguil relacionadas con un ataque a un host de Windows el 3- 19-2019, puede haber información relacionada adicional disponible en Kibana. Cierre Sguil e inicie Kibana desde el escritorio. Parte 2: Usar Kibana para investigar alertas En la Parte 2, use Kibana para investigar más a fondo el ataque del 3-19-2019. Paso 1: Abre Kibana y reduce el plazo. a. Inicie sesión en Kibana VM con el nombre de usuario analyst y la contraseña cyberops b. Abra Kibana (analyst de nombre de usuario y ciberops de contraseña), haga clic en Últimas 24 horas y en la pestaña Intervalo de tiempo absoluto para cambiar el intervalo de tiempo al 1 de marzo de 2019 al 31 de marzo de 2019. c. La línea de tiempo Recuento total de registros a lo largo del tiempo mostrará un evento el 19 de marzo. Haga clic en ese evento para limitar el enfoque al intervalo de tiempo específico del ataque.
  • 6. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 6 de 9 www.netacad.com Paso 2: Revise las alertas en el marco de tiempo reducido. a. En el panel de control de Kibana, desplácese hacia abajo hasta la visualización Todos los sensores - Tipo de registro. Revise ambas páginas y tenga en cuenta la variedad de tipos de registro relacionados con este ataque. b. Desplácese hacia abajo y observe que el Resumen de Alertas de NIDS en Kibana tiene muchas de las mismas alertas de IDS que aparecen en Sguil. Haga clic en la lupa para filtrar en la segunda alerta ET TROJAN ABUSE.CH SSL Lista negra Certificado SSL malintencionado detectado (Dridex) de la dirección IP de origen 31.22.4.176.
  • 7. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 7 de 9 www.netacad.com c. Desplácese hacia abajo hasta Todos los registros y haga clic en la flecha para expandir el primer registro de la lista con la dirección IP de origen 31.22.4.176. Preguntas: ¿Cuál es el geopaís y la ubicación de la ciudad para esta alerta? Reino Unido, Newcastle-upon-Tyne ¿Cuál es el país y la ciudad geográficos para la alerta de 115.112?43.81? India, Bombay d. Desplácese hacia atrás hasta la parte superior de la página y haga clic en el enlace Inicio en Navegación. e. Anteriormente notamos tipos de registro como bro_http enumerados en el panel de inicio. Puede filtrar por los distintos tipos de registro, pero los paneles integrados probablemente tendrán más información. Desplácese hacia atrás a la parte superior de la página y haga clic en HTTP en el enlace del panel bajo Zeek Hunting in Navigation. f. Desplácese por el panel HTTP tomando nota de la información presentada y responda a las siguientes preguntas: Preguntas:
  • 8. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 8 de 9 www.netacad.com ¿Qué es el recuento de registros en el panel HTTP? ¿De qué países? 4, Estados Unidos y Holanda ¿Cuáles son los URI de los archivos descargados? /f4.exe, /ncsi.txt, /pki/crl/products/CSPCA.crl y /test1.exe g. Haga coincidir los URI HTTP con los sitios HTTP - en el panel de control. Pregunta: ¿A qué están relacionados los archivos CSPCA.crl y ncsi.txt? Utilice un navegador web y un motor de búsqueda para obtener información adicional. CSPCA.crl es una solicitud para la lista de revocación de certificados de Microsoft y ncsi.txt se refiere al indicador de estado de conexión de red y los hosts de Windows lo utilizan automáticamente como una autocomprobación para verificar la conectividad en línea. Enlaces de referencia para obtener más información: https://superuser.com/questions/427967/what-would-http-crl-microsoft-com-pki-crl-products-cspca-crl-be- used-for https://campus .barracuda.com/product/websecuritygateway/knowledgebase/50160000000auwRAAQ/should-i-block- http-www-msftncsi-com-ncsi-txt-on-my-barracuda-product/ h. Desplácese hacia atrás hasta la parte superior de la página web y en Navegación - Zeek Hunting haga clic en DNS. Desplácese hasta la visualización de consultas DNS. Observe la página 1 y página 3 de las consultas DNS. ¿Alguno de los dominios parece potencialmente inseguro? Intente enviar la URL toptoptop1.online a virustotal.com. ¿Cuál es el resultado? 4 motores de detección reconocen la URL como maliciosa con respecto al malware
  • 9. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 9 de 9 www.netacad.com Escriba sus respuestas aquí. i. Para más investigación, intente examinar los siguientes paneles de Zeek Hunting: DCE/RPC: para obtener información sobre los procedimientos remotos de la red de Windows y los recursos involucrados Kerberos: para obtener información sobre los nombres de host y los nombres de dominio que se utilizaron PE: para obtener información sobre los ejecutables portátiles SSL y x.509: para obtener información sobre los nombres de los certificados de seguridad y los países que se utilizaron SMB : para obtener más información sobre las acciones de SMB en la red de littletigers Weird: para anomalías de protocolo y servicio y comunicaciones mal formadas Fin del documento