Infección en la oficina de Japón
En este post un tanto distinto a los demás. Realizaremos un ejercicio de análisis de trafico proporcionado por Malware Traffic Analysis, quien nos proporciona un archivo .pcap entre otros, los cuales nos permiten llevar acabo nuestro ejercicio.
En nuestro caso realizaremos el ejercicio de nombre "Infección en la oficina de Japón"
-----------------------------------
-----------------------------------
En este caso la pagina nos otorga 2 archivos en formato .zip. Uno es el archivo .pcap y el otro contiene 2 archivos .txt que contienen las alertas de Snort y Suricata, evidentemente debemos descargar ambos para este caso.
Resumiendo nuestro caso, en la fecha 27-06-2017 una computadora de una empresa japonesa se infecto con un malware, nuestro trabajo es tomar el rol de analista forense.
Debemos de analizar los archivos y obtener la siguiente información:
- ¿Cuál es la dirección MAC, la dirección IP y el nombre de host del equipo Windows infectado?
- ¿Cuál es la fecha y la hora (en UTC) que el equipo estaba infectado?
- Basado en las alertas de Snort y Suricata, ¿con qué se infectó el equipo?
- Con base en los indicadores de la primera solicitud HTTP GET, determine cómo se infectó el equipo.
- Basado en la respuesta anterior, ¿cuál es el hash SHA256 para el archivo que probablemente infectó el equipo?
- El pcap contiene 3 archivos ejecutables de Windows enviados a través de HTTP.
- Exportarlos desde el pcap. ¿Cuáles son los hashes del archivo SHA256 de esos 3 archivos?
Para obtener la informacion principal que es la MAC, IP y HOSTNAME de nuestro equipo, analizaremos nuestro archivo .pcap utilizando nuestra herramienta WireShark.
Ya tenemos lo primero:
IP: 192.168.1.96
NAME_HOST:FlashGordon-PC
Continuando, nos solicitan saber la fecha en que el equipo ha sido infectado. Para eso analizaremos las alertas de Snort o Suricata.
La Fecha de infección es: 2017-06-27 13:44
Ahora nos piden saber, con que se infecto nuestro sistema. Para eso podemos analizar las alertas de Snort.
El sistema fue infectado con "Win.Trojan.Pushdo variant".
DOC0978043-2017.6.doc.js
64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f
2017-547805549-231.pdf.js
59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702
La Fecha de infección es: 2017-06-27 13:44
 |
| Suricata |
 |
| Snort |
El sistema fue infectado con "Win.Trojan.Pushdo variant".
Continuando con nuestro analisis, nos solicitan que con base a la primer solicitud HTTP GET determinemos como fue que se infecto el sistema. Para esto regresamos a nuestro archivo .pcap en la primer solicitud HTTP GET.
Nada difícil de encontrar, "http://matied.com/gerv.gun" para poder determinar como fue que se dio la infección, podemos buscar un poco en Google.
Buscando un poco en Google, Norton nos ofrece esta informacion
Despues de buscar ne muy pocas paginas, di con una pagina la cual reporta una actividad masiva de spam, la cual concuerda con nuestras fechas.
La campaña de spam consistia en mandar un correo electronico el cual contenia adjunto un archivo .zip con el malware.
Con esta información se determina que el sistema fue infectado por medio de una campaña de Spam, de la cual nuestro usuario fue victima.
 |
| Correo Electrónico Malicioso (SPAM) |
Continuando, ahora nos solicitan el hash SHA256 del archivo, que probablemente infecto al equipo, para eso, en la misma pagina en donde saque la información tenemos las muestras ya subidas a VirusTotal, de donde podemos sacar el hash solicitado.
Los hash SHA256 de los archivos son:
64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f
2017-547805549-231.pdf.js
59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702
Ahora nos indican que en el archivo .pcap contiene 3 ejecutables .exe los cuales deben de ser exportados y posteriormente obtener sus hash SHA526 respectivamente.
Utilizamos VirusTotal
NO PUEDE EXTRAER EL ARCHIVO ger,gun
En resumen tenemos lo siguiente:
MAC: 00:15:c5:de:c7:3b
IP: 192.168.1.96
NAME_HOST:FlashGordon-PC
Fecha y hora en la que se infecto el sistema:
2017-06-27 13:44 utc
Basado en las alertas de Snort y Suricata, ¿con qué se infectó el equipo?
Win.Trojan.Pushdo variant
Con base en los indicadores de la primera solicitud HTTP GET, determine cómo se infectó el equipo.
El equipo se infecto, con un troyano procedente de una campaña de spam
matied.com/gerv.gun
Basado en la respuesta anterior, ¿cuál es el hash SHA256 para el archivo que probablemente infectó el equipo?
DOC0978043-2017.6.doc.js
64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f
2017-547805549-231.pdf.js
59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702
El pcap contiene 3 archivos ejecutables de Windows enviados a través de HTTP. Exportarlos desde el pcap. ¿Cuáles son los hashes del archivo SHA256 de esos 3 archivos?
gerv.gun - SHA256 hash:
0931537889c35226d00ed26962ecacb140521394279eb2ade7e9d2afcf1a7272
wp.exe - SHA256 hash:
79d503165d32176842fe386d96c04fb70f6ce1c8a485837957849297e625ea48
trow.exe - SHA256 hash:
94a0a09ee6a21526ac34d41eabf4ba603e9a30c26e6a1dc072ff45749dfb1fe1
Con base en los indicadores de la primera solicitud HTTP GET, determine cómo se infectó el equipo.
El equipo se infecto, con un troyano procedente de una campaña de spam
matied.com/gerv.gun
Basado en la respuesta anterior, ¿cuál es el hash SHA256 para el archivo que probablemente infectó el equipo?
DOC0978043-2017.6.doc.js
64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f
2017-547805549-231.pdf.js
59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702
El pcap contiene 3 archivos ejecutables de Windows enviados a través de HTTP. Exportarlos desde el pcap. ¿Cuáles son los hashes del archivo SHA256 de esos 3 archivos?
gerv.gun - SHA256 hash:
0931537889c35226d00ed26962ecacb140521394279eb2ade7e9d2afcf1a7272
wp.exe - SHA256 hash:
79d503165d32176842fe386d96c04fb70f6ce1c8a485837957849297e625ea48
trow.exe - SHA256 hash:
94a0a09ee6a21526ac34d41eabf4ba603e9a30c26e6a1dc072ff45749dfb1fe1
Te recomiendo leer el post de Gf0s en donde también realiza un ejercicio similar:
----- [ LINKs ] -----
Informe de Norton sobre "matied.com"
https://safeweb.norton.com/report/show_mobile?name=matied.com&ulang=esl
Post sobre la campaña de spam
https://myonlinesecurity.co.uk/japanese-language-invoice-malspam-using-js-files-inside-zips-today/
https://www.virustotal.com/en/file/64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f/analysis/1498539514/
https://www.virustotal.com/en/file/59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702/analysis/1498539649/
trow.exe (VirusTotal)
https://www.virustotal.com/en/file/94a0a09ee6a21526ac34d41eabf4ba603e9a30c26e6a1dc072ff45749dfb1fe1/analysis/
wp.exe (VirusTotal)
https://www.virustotal.com/en/file/79d503165d32176842fe386d96c04fb70f6ce1c8a485837957849297e625ea48/analysis/
.png)
.png)
No hay comentarios.:
Publicar un comentario