EJERCICIO DE ANÁLISIS DE TRÁFICO - "MARS SMART"




"MARS SMART"

Un nuevo ejercicio de analisis de trafico de red de la pagina Malware-traffic-analysis.net de nombre "Mars Smart".

GUIÓN

EDWARD y CAROL están llenos de dinero de varios inversionistas de alto perfil. Desafortunadamente, su propuesta comercial original se vino abajo. Actualmente están intercambiando ideas para una nueva compañía.
 
EDUARDO
Ya sabes, si los humanos pisan el planeta Marte, tendremos que ser inteligentes al respecto.
CAROL
Seguir...
EDUARDO
Propongo que iniciemos un negocio llamado "Mars Smart" que apunta a los astronautas y a cualquier persona que intente visitar el planeta rojo.
CAROL
Eso no parece una muy buena idea de negocios.
EDUARDO
Pero ya hice un signo para eso. ¡Solo mira esto!
 
CAROL
Eso dice punto com "Mars Mart", no punto com "Mars Smart". ¡Y está en un pedazo de cartón, gran tonto!
EDWARD se rasca la cabeza tímidamente.
EDUARDO
Probablemente debería haber consultado con usted antes de que nuestro departamento de TI haya configurado la red de la compañía.
CAROL se pregunta qué otros errores cometió EDWARD.

Este es nuetro caso, y como siempre partires del analisis de un archivo .pcap proporcionado por la pagina. En cuanto a la informacion que debemos de extraer del archivo es:



Basado en el pcap, averigua qué otro error ha cometido Edward. Haga un informe de incidente rápido que incluya la siguiente información:
  • Fecha y hora de inicio de la actividad maliciosa en UTC (GMT).
  • Dirección IP del host de Windows afectado.
  • Dirección Mac del host de Windows afectado.
  • Nombre de host del host de Windows afectado.
  • Nombre de cuenta de usuario en el host de Windows afectado.
  • Un breve resumen de lo que sucedió.
Otra cosa, para poder realizar este ejercicio, necesitamos algo de informacion extra, mas que nada informacion de la infeccion.

Informacion Extra:


Nos descargamos nuestro .pcap y procedemos a analisar, en mi caso usare WireShark como herramienta de analisis, pueden usar otras herramientas como CapTipper, ya depende de gustos.

Para obtener de forma rapida los datos como IP, MAC y HotsName podemos filtrar por medio del NBNS (Nombre del servicio NetBIOS)


IP: 10.100.14.173
MAC: 08:60:6e:2a:96:f4
HostName: MAINE-OFFICE-PC
Ahora necesitamos el nombre de la cuenta de usuario, del Windows infectado. Para eso podemos buscar en el trafico de Kerberos, este trafico se genero cuando Edward inicio sension en su cliente Windows.



 Que es lo que tenemos hasta ahora??
  • Fecha y hora de inicio de la actividad maliciosa en UTC (GMT).
    •  2018-01-16 22:30:28
  • Dirección IP del host de Windows afectado.
    •  10.100.14.173
  • Dirección Mac del host de Windows afectado.
    •  08:60:6e:2a:96:f4
  • Nombre de host del host de Windows afectado.
    •  MAINE-OFFICE-PC
  • Nombre de cuenta de usuario en el host de Windows afectado.
    •  KerberosString: edward.reid
  • Un breve resumen de lo que sucedió.
    •  

Solo nos falta un breve resumen de lo sucedido, mas que nada de la infeccion. Para poder hacer esto, necesitamos ingresar a los siguientes links:
  • http://www.malware-traffic-analysis.net/2017/12/06/index4.html
  • http://www.malware-traffic-analysis.net/2017/11/03/index2.html

███████████████████████████████████████████████████████
Link: -->
 https://www.malware-traffic-analysis.net/2018/01/16/index2.html

Que es NBNS: -->                                                                                                       
 http://www.ordenador.online/Redes/Redes-Internet/Definici%C3%B3n-de-NBNS-Protocolo-.html
Otros links: -->
http://www.malware-traffic-analysis.net/2017/12/06/index4.html
http://www.malware-traffic-analysis.net/2017/11/03/index2.html
███████████████████████████████████████████████████████
INTELMEX
INTELMEX

This is a short biography of the post author. Maecenas nec odio et ante tincidunt tempus donec vitae sapien ut libero venenatis faucibus nullam quis ante maecenas nec odio et ante tincidunt tempus donec.

No hay comentarios.:

Publicar un comentario