SlideShare una empresa de Scribd logo

Laboratorio de investigación de ataque Windows

Descargar como DOCX, PDF
J
jesus521837

Este documento describe un laboratorio sobre la investigación de un ataque a un host de Windows. El objetivo es investigar el ataque usando Sguil e identificar la hora del ataque, el host infectado, el usuario y el malware involucrado. Luego, se usa Kibana para investigar más alertas relacionadas. Se identifican dos archivos ejecutables descargados que resultan ser malware conocido. También se encuentra evidencia de comunicación de un troyano Remcos.

Ingeniería
1 de 9
 2020 -2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 9 www.netacad.com Laboratorio - Investigación de un ataque en un host de Windows Objetivos En esta práctica de laboratorio: Parte 1: Investigue el ataque con Sguil Parte 2: Usa Kibana para investigar alertas Esta práctica de laboratorio se basa en un ejercicio del sitio web malware-traffic-analysis.net que es un excelente recurso para aprender a analizar los ataques de red y host. Gracias a brad@malware-traffic- analysis.net por el permiso para usar materiales de su sitio. Aspectos básicos/Situación En marzo de 2019, las herramientas de supervisión de seguridad de red alertaron de que un equipo Windows de la red estaba infectado con malware. En esta tarea, debe investigar las alertas y responder a las siguientes preguntas:  ¿Cuál fue la hora específica del ataque en 2019-03-19?  ¿Qué equipo host de Windows se infectó? ¿Quién era el usuario?  ¿Con qué estaba infectada la computadora? Recursos necesarios  En mi máquina virtual de Security Onion  Acceso a Internet Instrucciones Parte 1: Investiga el ataque con Sguil En la Parte 1, usará Sguil para comprobar las alertas de IDS y recopilar más información sobre la serie de eventos relacionados con un ataque del 3-19-2019. Nota: Los ID de alerta utilizados en este laboratorio son únicamente ilustrativos. Las alertas IDs en su MV (máquina virtual) pueden ser diferentes. Paso 1: Abra Sguil y localice las alertas en 3-19-2019. a. Inicie sesión en Security Onion VM con el nombre de usuario analyst y la contraseña cyberops. b. Inicie Sguil desde el escritorio. Inicie sesión con username analyst and password cyberops. Haga clic en Seleccionar todo e Iniciar Sguil para ver todas las alertas generadas por los sensores de red. c. Localice el grupo de alertas a partir del 19 de marzo de 2019. Pregunta: Según Sguil, ¿cuáles son las marcas de tiempo para la primera y última de las alertas que ocurrieron el 3-19-2019? ¿Qué es interesante acerca de las marcas de tiempo de todas las alertas del 3-19-2019? 01:45:03 a 04:54:34. Las alertas muestran actividad sospechosa durante un poco más de 3 horas, pero la mayoría de las alertas se produjeron durante un poco más de 3 minutos y 43 segundos.
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 9 www.netacad.com Paso 2: Revise las alertas en detalle. a. En Sguil, haga clic en la primera de las alertas del 3-19-2019 (ID de alerta 5.439). Asegúrese de marcar las casillas de verificación Mostrar datos del paquete y Mostrar regla para examinar la información del encabezado del paquete y la regla de firma IDS relacionada con la alerta. Clic derecho en el ID de alerta y pivote hacia Wireshark. Sobre la base de la información derivada de esta alerta inicial, responda a las siguientes preguntas: Preguntas: ¿Cuál era la dirección IP de origen y el número de puerto y la dirección IP de destino y el número de puerto? Origen: 10.0.90.215:52609, Destino: 10.0.90.9:53 ¿Qué tipo de protocolo y solicitud o respuesta estuvo involucrado? UDP, DNS Dinámico, actualización y respuesta ¿Qué es la alerta y el mensaje de IDS? Alerta udp $EXTERNAL_NET cualquiera -> $HOME_NET 53, mensaje: “ET POLICY DNS Update from External net ¿Cree que esta alerta fue el resultado de una mala configuración de IDS o de una comunicación sospechosa legítima? Esta alerta puede ser el resultado de una configuración incorrecta en el IDS porque la solicitud de DNS fue una actualización de DNS dinámico de un host interno a un servidor DNS en la red interna y no de una red externa a la red interna. ¿Cuál es el nombre de host, el nombre de dominio y la dirección IP del host de origen en la actualización DNS? Bobby-Tiger-PC, littletigers.info, 10.0.90.215 b. En Sguil, seleccione la segunda de las alertas del 3-19-2019. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. De la trasncripción responda las siguientes preguntas. Preguntas: ¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino?
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 9 www.netacad.com Origen 10.0.90.215:49204 y Destino 209.141.34.8:80 Mirando la solicitud (azul) ¿para qué fue la solicitud? OBTENER /test1.exe Al mirar la respuesta (roja), muchos archivos revelarán su firma en los primeros caracteres del archivo cuando se vean como texto. Las firmas de archivo ayudan a identificar el tipo de archivo que se representa. Utilice un explorador web para buscar una lista de firmas de archivo comunes. Pregunta: ¿Cuáles son los primeros caracteres del archivo? ¿Busca esta firma de archivo para averiguar qué tipo de archivo se ha descargado en los datos? Los caracteres iniciales de este campo son MZ, un archivo ejecutable de Windows .exe o .dll c. Cierre la transcripción. Utilice Wireshark para exportar el archivo ejecutable para el análisis de malware (Archivo > Exportar objetos > HTTP...). Guarde el archivo en la carpeta principal del analista. d. Abra un terminal en Security Onion VM y cree un hash SHA256 desde el archivo exportado. Use el siguiente comando: analyst @SecOnion: ~$ sha256sum test1.exe 2a9b0ed40f1f0bc0c13ff35d304689e9cadd633781cbcad1c2d2b92ced3f1c85 test1.exe e. Copie el hash del archivo y envíelo al centro de reputación de archivos Talos de Cisco en https://talosintelligence.com/talos_file_reputation. Pregunta: ¿Reconoció Talos el hash del archivo y lo identificó como malware? Si es así, ¿qué tipo de malware? Sí, win32 trojan-spy-agent
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 9 www.netacad.com f. En Sguil, seleccione la alerta con Alert ID 5.480 y el Event Message Remcos RAT Checkin 23. Observe que la firma IDS ha detectado la RAT Remcos basada en los códigos hexadecimales binarios al comienzo de la comunicación. g. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. Desplácese por la transcripción y responda a las siguientes preguntas: Preguntas: ¿Cuál es el puerto de destino de la comunicación? ¿Es este un puerto conocido? El puerto de destino es 2404 y no es un puerto muy conocido. ¿Es legible la comunicación o está encriptada? esta encriptado Haga algunas investigaciones en línea sobre Remcos RAT Checkin 23. ¿Qué hace Remcos? Software de vigilancia y control remoto ¿Qué tipo de comunicación crees que se estaba transmitiendo? Un keylogger que posiblemente envíe información de pulsaciones de teclas a un servidor C2C ¿Qué tipo de encriptación y ofuscación se usó para eludir la detección? Remcos RAT utiliza múltiples empacadores, codificación base64 y encriptación RC4 para eludir la detección y descartar a los analistas de seguridad. h. Usando Sguil y las alertas restantes del 3-19-2019, localice el segundo archivo ejecutable que se descargó y compruebe si se trata de malware conocido. Preguntas: ¿Qué ID alerta a un segundo archivo ejecutable que se está descargando? Las respuestas pueden variar. En este ejemplo, 5.483, 5.485, 5.497, 5.509, 5.521, 5.533 ¿Desde qué dirección IP del servidor y número de puerto se descargó el archivo? 217.23.14.81:80 ¿Cuál es el nombre del archivo que se ha descargado? F4.exe
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 9 www.netacad.com Cree un hash SHA256 del archivo y envíe el hash en línea en el Centro de Reputación de Archivos de Talos de Cisco para ver si coincide con el malware conocido. ¿Es el archivo ejecutable malware conocido y, en caso afirmativo, de qué tipo? ¿Cuáles el nombre de la detección de AMP? Sí, ejecutable PE32, descargador de troyanos Win.Dropper.Cridex::1201 i. Examine las tres alertas restantes del 3-19-2019 mirando la información del encabezado en Mostrar datos del paquete, la firma IDS en Mostrar regla y las transcripciones de ID de alerta. Pregunta: ¿Cómo se relacionan las tres alertas? Las tres alertas están encriptadas y las tres alertas fueron activadas por un certificado SSL malicioso incluido en la lista negra: Dridex j. Aunque ha examinado todas las alertas de Sguil relacionadas con un ataque a un host de Windows el 3- 19-2019, puede haber información relacionada adicional disponible en Kibana. Cierre Sguil e inicie Kibana desde el escritorio. Parte 2: Usar Kibana para investigar alertas En la Parte 2, use Kibana para investigar más a fondo el ataque del 3-19-2019. Paso 1: Abre Kibana y reduce el plazo. a. Inicie sesión en Kibana VM con el nombre de usuario analyst y la contraseña cyberops b. Abra Kibana (analyst de nombre de usuario y ciberops de contraseña), haga clic en Últimas 24 horas y en la pestaña Intervalo de tiempo absoluto para cambiar el intervalo de tiempo al 1 de marzo de 2019 al 31 de marzo de 2019. c. La línea de tiempo Recuento total de registros a lo largo del tiempo mostrará un evento el 19 de marzo. Haga clic en ese evento para limitar el enfoque al intervalo de tiempo específico del ataque.
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 6 de 9 www.netacad.com Paso 2: Revise las alertas en el marco de tiempo reducido. a. En el panel de control de Kibana, desplácese hacia abajo hasta la visualización Todos los sensores - Tipo de registro. Revise ambas páginas y tenga en cuenta la variedad de tipos de registro relacionados con este ataque. b. Desplácese hacia abajo y observe que el Resumen de Alertas de NIDS en Kibana tiene muchas de las mismas alertas de IDS que aparecen en Sguil. Haga clic en la lupa para filtrar en la segunda alerta ET TROJAN ABUSE.CH SSL Lista negra Certificado SSL malintencionado detectado (Dridex) de la dirección IP de origen 31.22.4.176.
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 7 de 9 www.netacad.com c. Desplácese hacia abajo hasta Todos los registros y haga clic en la flecha para expandir el primer registro de la lista con la dirección IP de origen 31.22.4.176. Preguntas: ¿Cuál es el geopaís y la ubicación de la ciudad para esta alerta? Reino Unido, Newcastle-upon-Tyne ¿Cuál es el país y la ciudad geográficos para la alerta de 115.112?43.81? India, Bombay d. Desplácese hacia atrás hasta la parte superior de la página y haga clic en el enlace Inicio en Navegación. e. Anteriormente notamos tipos de registro como bro_http enumerados en el panel de inicio. Puede filtrar por los distintos tipos de registro, pero los paneles integrados probablemente tendrán más información. Desplácese hacia atrás a la parte superior de la página y haga clic en HTTP en el enlace del panel bajo Zeek Hunting in Navigation. f. Desplácese por el panel HTTP tomando nota de la información presentada y responda a las siguientes preguntas: Preguntas:
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 8 de 9 www.netacad.com ¿Qué es el recuento de registros en el panel HTTP? ¿De qué países? 4, Estados Unidos y Holanda ¿Cuáles son los URI de los archivos descargados? /f4.exe, /ncsi.txt, /pki/crl/products/CSPCA.crl y /test1.exe g. Haga coincidir los URI HTTP con los sitios HTTP - en el panel de control. Pregunta: ¿A qué están relacionados los archivos CSPCA.crl y ncsi.txt? Utilice un navegador web y un motor de búsqueda para obtener información adicional. CSPCA.crl es una solicitud para la lista de revocación de certificados de Microsoft y ncsi.txt se refiere al indicador de estado de conexión de red y los hosts de Windows lo utilizan automáticamente como una autocomprobación para verificar la conectividad en línea. Enlaces de referencia para obtener más información: https://superuser.com/questions/427967/what-would-http-crl-microsoft-com-pki-crl-products-cspca-crl-be- used-for https://campus .barracuda.com/product/websecuritygateway/knowledgebase/50160000000auwRAAQ/should-i-block- http-www-msftncsi-com-ncsi-txt-on-my-barracuda-product/ h. Desplácese hacia atrás hasta la parte superior de la página web y en Navegación - Zeek Hunting haga clic en DNS. Desplácese hasta la visualización de consultas DNS. Observe la página 1 y página 3 de las consultas DNS. ¿Alguno de los dominios parece potencialmente inseguro? Intente enviar la URL toptoptop1.online a virustotal.com. ¿Cuál es el resultado? 4 motores de detección reconocen la URL como maliciosa con respecto al malware
Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 9 de 9 www.netacad.com Escriba sus respuestas aquí. i. Para más investigación, intente examinar los siguientes paneles de Zeek Hunting: DCE/RPC: para obtener información sobre los procedimientos remotos de la red de Windows y los recursos involucrados Kerberos: para obtener información sobre los nombres de host y los nombres de dominio que se utilizaron PE: para obtener información sobre los ejecutables portátiles SSL y x.509: para obtener información sobre los nombres de los certificados de seguridad y los países que se utilizaron SMB : para obtener más información sobre las acciones de SMB en la red de littletigers Weird: para anomalías de protocolo y servicio y comunicaciones mal formadas Fin del documento

Recomendados

27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docxjesus521837
 
27.2.15 lab investigating a malware exploit
27.2.15 lab investigating a malware exploit27.2.15 lab investigating a malware exploit
27.2.15 lab investigating a malware exploitFreddy Buenaño
 
27.2.12 lab interpret http and dns data to isolate threat actor
27.2.12 lab interpret http and dns data to isolate threat actor27.2.12 lab interpret http and dns data to isolate threat actor
27.2.12 lab interpret http and dns data to isolate threat actorFreddy Buenaño
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoSSecpro - Security Professionals
 
25.3.10 Packet Tracer - Explore a NetFlow Implementation.docx
25.3.10 Packet Tracer - Explore a NetFlow Implementation.docx25.3.10 Packet Tracer - Explore a NetFlow Implementation.docx
25.3.10 Packet Tracer - Explore a NetFlow Implementation.docxjesus521837
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLFrancisco Medina
 
Respuestas
RespuestasRespuestas
Respuestasklever allauca carrillo
 

Recomendados

27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docx
27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor.docxjesus521837
 
27.2.15 lab investigating a malware exploit
27.2.15 lab investigating a malware exploit27.2.15 lab investigating a malware exploit
27.2.15 lab investigating a malware exploitFreddy Buenaño
 
27.2.12 lab interpret http and dns data to isolate threat actor
27.2.12 lab interpret http and dns data to isolate threat actor27.2.12 lab interpret http and dns data to isolate threat actor
27.2.12 lab interpret http and dns data to isolate threat actorFreddy Buenaño
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoSSecpro - Security Professionals
 
25.3.10 Packet Tracer - Explore a NetFlow Implementation.docx
25.3.10 Packet Tracer - Explore a NetFlow Implementation.docx25.3.10 Packet Tracer - Explore a NetFlow Implementation.docx
25.3.10 Packet Tracer - Explore a NetFlow Implementation.docxjesus521837
 
Actividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLActividad No. 1.8: Análisis del protocolo MySQL
Actividad No. 1.8: Análisis del protocolo MySQLFrancisco Medina
 
Respuestas
RespuestasRespuestas
Respuestasklever allauca carrillo
 
5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilmOmar E Garcia V
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informáticamorfouz
 
Uso de packet tracer para ver las unidades de datos del protocolo
Uso de packet tracer para ver las unidades de datos del protocoloUso de packet tracer para ver las unidades de datos del protocolo
Uso de packet tracer para ver las unidades de datos del protocoloCristian Fory
 
Capa 2 modelo osi enlace de datos
Capa 2 modelo osi enlace de datosCapa 2 modelo osi enlace de datos
Capa 2 modelo osi enlace de datosdianamarcela0611
 
Firewall and It's Types
Firewall and It's TypesFirewall and It's Types
Firewall and It's TypesHem Pokhrel
 
Resumen Capítulo 5 CCNA CISCO
Resumen Capítulo 5 CCNA CISCOResumen Capítulo 5 CCNA CISCO
Resumen Capítulo 5 CCNA CISCOcabezon_jano
 
How to make a simple application on packet tracer
How to make a simple application on packet tracerHow to make a simple application on packet tracer
How to make a simple application on packet tracerFederal Urdu University of Arts,Science and technology
 
Recuperación de-datos-en-my sql
Recuperación de-datos-en-my sqlRecuperación de-datos-en-my sql
Recuperación de-datos-en-my sqlFrancisco Aguilar Smith
 
Informe configuracion de una red local
Informe configuracion de una red localInforme configuracion de una red local
Informe configuracion de una red localJohaniitha Erazo
 
Examen final actualizado 2014 moldulo 4, 80
Examen final actualizado 2014 moldulo 4, 80Examen final actualizado 2014 moldulo 4, 80
Examen final actualizado 2014 moldulo 4, 80gildardos88
 
Kali linux and hacking
Kali linux and hackingKali linux and hacking
Kali linux and hackingAbdullahDanish8
 
Examen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoExamen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoCarlos Ceballos
 
Ud6 hoja5 correccion
Ud6 hoja5 correccionUd6 hoja5 correccion
Ud6 hoja5 correccionAngelica Fernandez
 
Direccion ip
Direccion ipDireccion ip
Direccion iplaura1352
 
24 Ejercicios Subnetting
24 Ejercicios Subnetting24 Ejercicios Subnetting
24 Ejercicios SubnettingPatty Vm
 
DDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceDDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceEr. Shiva K. Shrestha
 
PACE-IT, Security+1.1: Introduction to Network Devices (part 2)
PACE-IT, Security+1.1: Introduction to Network Devices (part 2)PACE-IT, Security+1.1: Introduction to Network Devices (part 2)
PACE-IT, Security+1.1: Introduction to Network Devices (part 2)Pace IT at Edmonds Community College
 
Resumen capítulo 6_ccna_cisco
Resumen capítulo 6_ccna_cisco Resumen capítulo 6_ccna_cisco
Resumen capítulo 6_ccna_cisco cabezon_jano
 
diseño de direccionamiento
diseño de direccionamiento diseño de direccionamiento
diseño de direccionamiento soledad serapio
 
CCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
CCNAv5 - S1: Chapter 9 - Subnetting Ip NetworksCCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
CCNAv5 - S1: Chapter 9 - Subnetting Ip NetworksVuz Dở Hơi
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5UNAD
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionMaestros en Linea
 

Más contenido relacionado

La actualidad más candente

5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilmOmar E Garcia V
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informáticamorfouz
 
Uso de packet tracer para ver las unidades de datos del protocolo
Uso de packet tracer para ver las unidades de datos del protocoloUso de packet tracer para ver las unidades de datos del protocolo
Uso de packet tracer para ver las unidades de datos del protocoloCristian Fory
 
Capa 2 modelo osi enlace de datos
Capa 2 modelo osi enlace de datosCapa 2 modelo osi enlace de datos
Capa 2 modelo osi enlace de datosdianamarcela0611
 
Firewall and It's Types
Firewall and It's TypesFirewall and It's Types
Firewall and It's TypesHem Pokhrel
 
Resumen Capítulo 5 CCNA CISCO
Resumen Capítulo 5 CCNA CISCOResumen Capítulo 5 CCNA CISCO
Resumen Capítulo 5 CCNA CISCOcabezon_jano
 
Informe configuracion de una red local
Informe configuracion de una red localInforme configuracion de una red local
Informe configuracion de una red localJohaniitha Erazo
 
Examen final actualizado 2014 moldulo 4, 80
Examen final actualizado 2014 moldulo 4, 80Examen final actualizado 2014 moldulo 4, 80
Examen final actualizado 2014 moldulo 4, 80gildardos88
 
Examen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoExamen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoCarlos Ceballos
 
Direccion ip
Direccion ipDireccion ip
Direccion iplaura1352
 
24 Ejercicios Subnetting
24 Ejercicios Subnetting24 Ejercicios Subnetting
24 Ejercicios SubnettingPatty Vm
 
DDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceDDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceEr. Shiva K. Shrestha
 
Resumen capítulo 6_ccna_cisco
Resumen capítulo 6_ccna_cisco Resumen capítulo 6_ccna_cisco
Resumen capítulo 6_ccna_cisco cabezon_jano
 
diseño de direccionamiento
diseño de direccionamiento diseño de direccionamiento
diseño de direccionamiento soledad serapio
 
CCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
CCNAv5 - S1: Chapter 9 - Subnetting Ip NetworksCCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
CCNAv5 - S1: Chapter 9 - Subnetting Ip NetworksVuz Dở Hơi
 

La actualidad más candente (20)

5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm5.2.2.6 lab configuring dynamic and static nat - ilm
5.2.2.6 lab configuring dynamic and static nat - ilm
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Uso de packet tracer para ver las unidades de datos del protocolo
Uso de packet tracer para ver las unidades de datos del protocoloUso de packet tracer para ver las unidades de datos del protocolo
Uso de packet tracer para ver las unidades de datos del protocolo
 
Capa 2 modelo osi enlace de datos
Capa 2 modelo osi enlace de datosCapa 2 modelo osi enlace de datos
Capa 2 modelo osi enlace de datos
 
Firewall and It's Types
Firewall and It's TypesFirewall and It's Types
Firewall and It's Types
 
Resumen Capítulo 5 CCNA CISCO
Resumen Capítulo 5 CCNA CISCOResumen Capítulo 5 CCNA CISCO
Resumen Capítulo 5 CCNA CISCO
 
How to make a simple application on packet tracer
How to make a simple application on packet tracerHow to make a simple application on packet tracer
How to make a simple application on packet tracer
 
Recuperación de-datos-en-my sql
Recuperación de-datos-en-my sqlRecuperación de-datos-en-my sql
Recuperación de-datos-en-my sql
 
Informe configuracion de una red local
Informe configuracion de una red localInforme configuracion de una red local
Informe configuracion de una red local
 
Examen final actualizado 2014 moldulo 4, 80
Examen final actualizado 2014 moldulo 4, 80Examen final actualizado 2014 moldulo 4, 80
Examen final actualizado 2014 moldulo 4, 80
 
Kali linux and hacking
Kali linux and hackingKali linux and hacking
Kali linux and hacking
 
Examen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De CiscoExamen Final De Capitulos 5,6,7 De Cisco
Examen Final De Capitulos 5,6,7 De Cisco
 
Ud6 hoja5 correccion
Ud6 hoja5 correccionUd6 hoja5 correccion
Ud6 hoja5 correccion
 
Direccion ip
Direccion ipDireccion ip
Direccion ip
 
24 Ejercicios Subnetting
24 Ejercicios Subnetting24 Ejercicios Subnetting
24 Ejercicios Subnetting
 
DDoS - Distributed Denial of Service
DDoS - Distributed Denial of ServiceDDoS - Distributed Denial of Service
DDoS - Distributed Denial of Service
 
PACE-IT, Security+1.1: Introduction to Network Devices (part 2)
PACE-IT, Security+1.1: Introduction to Network Devices (part 2)PACE-IT, Security+1.1: Introduction to Network Devices (part 2)
PACE-IT, Security+1.1: Introduction to Network Devices (part 2)
 
Resumen capítulo 6_ccna_cisco
Resumen capítulo 6_ccna_cisco Resumen capítulo 6_ccna_cisco
Resumen capítulo 6_ccna_cisco
 
diseño de direccionamiento
diseño de direccionamiento diseño de direccionamiento
diseño de direccionamiento
 
CCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
CCNAv5 - S1: Chapter 9 - Subnetting Ip NetworksCCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
CCNAv5 - S1: Chapter 9 - Subnetting Ip Networks
 

Similar a Laboratorio de investigación de ataque Windows

Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5UNAD
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionMaestros en Linea
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasyisdan
 
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreTesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreLeidy Reyes Rodriguez
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozonoCSA Argentina
 
Trabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluaciónTrabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluaciónjosemari28
 
Sunu
SunuSunu
SunuJ Lds
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJ Lds
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionMaestros Online
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018ITSitio.com
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticasantiramirez17
 
firewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdffirewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdfDennis Reyes
 

Similar a Laboratorio de investigación de ataque Windows (20)

Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacion
 
Trabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemasTrabajo n°4 auditoria de sistemas
Trabajo n°4 auditoria de sistemas
 
Que aprendi
Que aprendiQue aprendi
Que aprendi
 
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreTesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozono
 
Trabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluaciónTrabajo servicios en red 1ª evaluación
Trabajo servicios en red 1ª evaluación
 
Sunu
SunuSunu
Sunu
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Base de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacionBase de la infraestructura tecnica y proteccion de activos de informacion
Base de la infraestructura tecnica y proteccion de activos de informacion
 
Dns spoofing kali linux
Dns spoofing kali linuxDns spoofing kali linux
Dns spoofing kali linux
 
Seguridad en redes i
Seguridad en redes iSeguridad en redes i
Seguridad en redes i
 
2015 2-Prácticas GN3
2015 2-Prácticas GN32015 2-Prácticas GN3
2015 2-Prácticas GN3
 
2015 2-prácticas gns3
2015 2-prácticas gns32015 2-prácticas gns3
2015 2-prácticas gns3
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Respuestas
RespuestasRespuestas
Respuestas
 
Seguridad en redes i
Seguridad en redes iSeguridad en redes i
Seguridad en redes i
 
firewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdffirewall-best-practices-to-block-ransomware-es.pdf
firewall-best-practices-to-block-ransomware-es.pdf
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 

Último

Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 
Falla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integralFalla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integralsantirangelcor
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdfvictoralejandroayala2
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7luisanthonycarrascos
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...
Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...
Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...RichardRivas28
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfDanielaVelasquez553560
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxbingoscarlet
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
Introducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptIntroducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptEduardoCorado
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfFernandaGarca788912
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxJuanPablo452634
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptMarianoSanchez70
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptCRISTOFERSERGIOCANAL
 

Último (20)

Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptx
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 
Falla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integralFalla de san andres y el gran cañon : enfoque integral
Falla de san andres y el gran cañon : enfoque integral
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdf
 
sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7sistema de construcción Drywall semana 7
sistema de construcción Drywall semana 7
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...
Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...
Rendimiento-de-Maquinaria y precios unitarios para la construcción de una ma...
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdf
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
Introducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptIntroducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.ppt
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdf
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
 

Laboratorio de investigación de ataque Windows

  • 1.  2020 -2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 9 www.netacad.com Laboratorio - Investigación de un ataque en un host de Windows Objetivos En esta práctica de laboratorio: Parte 1: Investigue el ataque con Sguil Parte 2: Usa Kibana para investigar alertas Esta práctica de laboratorio se basa en un ejercicio del sitio web malware-traffic-analysis.net que es un excelente recurso para aprender a analizar los ataques de red y host. Gracias a brad@malware-traffic- analysis.net por el permiso para usar materiales de su sitio. Aspectos básicos/Situación En marzo de 2019, las herramientas de supervisión de seguridad de red alertaron de que un equipo Windows de la red estaba infectado con malware. En esta tarea, debe investigar las alertas y responder a las siguientes preguntas:  ¿Cuál fue la hora específica del ataque en 2019-03-19?  ¿Qué equipo host de Windows se infectó? ¿Quién era el usuario?  ¿Con qué estaba infectada la computadora? Recursos necesarios  En mi máquina virtual de Security Onion  Acceso a Internet Instrucciones Parte 1: Investiga el ataque con Sguil En la Parte 1, usará Sguil para comprobar las alertas de IDS y recopilar más información sobre la serie de eventos relacionados con un ataque del 3-19-2019. Nota: Los ID de alerta utilizados en este laboratorio son únicamente ilustrativos. Las alertas IDs en su MV (máquina virtual) pueden ser diferentes. Paso 1: Abra Sguil y localice las alertas en 3-19-2019. a. Inicie sesión en Security Onion VM con el nombre de usuario analyst y la contraseña cyberops. b. Inicie Sguil desde el escritorio. Inicie sesión con username analyst and password cyberops. Haga clic en Seleccionar todo e Iniciar Sguil para ver todas las alertas generadas por los sensores de red. c. Localice el grupo de alertas a partir del 19 de marzo de 2019. Pregunta: Según Sguil, ¿cuáles son las marcas de tiempo para la primera y última de las alertas que ocurrieron el 3-19-2019? ¿Qué es interesante acerca de las marcas de tiempo de todas las alertas del 3-19-2019? 01:45:03 a 04:54:34. Las alertas muestran actividad sospechosa durante un poco más de 3 horas, pero la mayoría de las alertas se produjeron durante un poco más de 3 minutos y 43 segundos.
  • 2. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 9 www.netacad.com Paso 2: Revise las alertas en detalle. a. En Sguil, haga clic en la primera de las alertas del 3-19-2019 (ID de alerta 5.439). Asegúrese de marcar las casillas de verificación Mostrar datos del paquete y Mostrar regla para examinar la información del encabezado del paquete y la regla de firma IDS relacionada con la alerta. Clic derecho en el ID de alerta y pivote hacia Wireshark. Sobre la base de la información derivada de esta alerta inicial, responda a las siguientes preguntas: Preguntas: ¿Cuál era la dirección IP de origen y el número de puerto y la dirección IP de destino y el número de puerto? Origen: 10.0.90.215:52609, Destino: 10.0.90.9:53 ¿Qué tipo de protocolo y solicitud o respuesta estuvo involucrado? UDP, DNS Dinámico, actualización y respuesta ¿Qué es la alerta y el mensaje de IDS? Alerta udp $EXTERNAL_NET cualquiera -> $HOME_NET 53, mensaje: “ET POLICY DNS Update from External net ¿Cree que esta alerta fue el resultado de una mala configuración de IDS o de una comunicación sospechosa legítima? Esta alerta puede ser el resultado de una configuración incorrecta en el IDS porque la solicitud de DNS fue una actualización de DNS dinámico de un host interno a un servidor DNS en la red interna y no de una red externa a la red interna. ¿Cuál es el nombre de host, el nombre de dominio y la dirección IP del host de origen en la actualización DNS? Bobby-Tiger-PC, littletigers.info, 10.0.90.215 b. En Sguil, seleccione la segunda de las alertas del 3-19-2019. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. De la trasncripción responda las siguientes preguntas. Preguntas: ¿Cuáles son las direcciones MAC e IP y los números de puerto de origen y de destino?
  • 3. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 9 www.netacad.com Origen 10.0.90.215:49204 y Destino 209.141.34.8:80 Mirando la solicitud (azul) ¿para qué fue la solicitud? OBTENER /test1.exe Al mirar la respuesta (roja), muchos archivos revelarán su firma en los primeros caracteres del archivo cuando se vean como texto. Las firmas de archivo ayudan a identificar el tipo de archivo que se representa. Utilice un explorador web para buscar una lista de firmas de archivo comunes. Pregunta: ¿Cuáles son los primeros caracteres del archivo? ¿Busca esta firma de archivo para averiguar qué tipo de archivo se ha descargado en los datos? Los caracteres iniciales de este campo son MZ, un archivo ejecutable de Windows .exe o .dll c. Cierre la transcripción. Utilice Wireshark para exportar el archivo ejecutable para el análisis de malware (Archivo > Exportar objetos > HTTP...). Guarde el archivo en la carpeta principal del analista. d. Abra un terminal en Security Onion VM y cree un hash SHA256 desde el archivo exportado. Use el siguiente comando: analyst @SecOnion: ~$ sha256sum test1.exe 2a9b0ed40f1f0bc0c13ff35d304689e9cadd633781cbcad1c2d2b92ced3f1c85 test1.exe e. Copie el hash del archivo y envíelo al centro de reputación de archivos Talos de Cisco en https://talosintelligence.com/talos_file_reputation. Pregunta: ¿Reconoció Talos el hash del archivo y lo identificó como malware? Si es así, ¿qué tipo de malware? Sí, win32 trojan-spy-agent
  • 4. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 9 www.netacad.com f. En Sguil, seleccione la alerta con Alert ID 5.480 y el Event Message Remcos RAT Checkin 23. Observe que la firma IDS ha detectado la RAT Remcos basada en los códigos hexadecimales binarios al comienzo de la comunicación. g. Haga clic con el botón derecho en el ID de alerta 5.440 y seleccione Transcript. Desplácese por la transcripción y responda a las siguientes preguntas: Preguntas: ¿Cuál es el puerto de destino de la comunicación? ¿Es este un puerto conocido? El puerto de destino es 2404 y no es un puerto muy conocido. ¿Es legible la comunicación o está encriptada? esta encriptado Haga algunas investigaciones en línea sobre Remcos RAT Checkin 23. ¿Qué hace Remcos? Software de vigilancia y control remoto ¿Qué tipo de comunicación crees que se estaba transmitiendo? Un keylogger que posiblemente envíe información de pulsaciones de teclas a un servidor C2C ¿Qué tipo de encriptación y ofuscación se usó para eludir la detección? Remcos RAT utiliza múltiples empacadores, codificación base64 y encriptación RC4 para eludir la detección y descartar a los analistas de seguridad. h. Usando Sguil y las alertas restantes del 3-19-2019, localice el segundo archivo ejecutable que se descargó y compruebe si se trata de malware conocido. Preguntas: ¿Qué ID alerta a un segundo archivo ejecutable que se está descargando? Las respuestas pueden variar. En este ejemplo, 5.483, 5.485, 5.497, 5.509, 5.521, 5.533 ¿Desde qué dirección IP del servidor y número de puerto se descargó el archivo? 217.23.14.81:80 ¿Cuál es el nombre del archivo que se ha descargado? F4.exe
  • 5. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 9 www.netacad.com Cree un hash SHA256 del archivo y envíe el hash en línea en el Centro de Reputación de Archivos de Talos de Cisco para ver si coincide con el malware conocido. ¿Es el archivo ejecutable malware conocido y, en caso afirmativo, de qué tipo? ¿Cuáles el nombre de la detección de AMP? Sí, ejecutable PE32, descargador de troyanos Win.Dropper.Cridex::1201 i. Examine las tres alertas restantes del 3-19-2019 mirando la información del encabezado en Mostrar datos del paquete, la firma IDS en Mostrar regla y las transcripciones de ID de alerta. Pregunta: ¿Cómo se relacionan las tres alertas? Las tres alertas están encriptadas y las tres alertas fueron activadas por un certificado SSL malicioso incluido en la lista negra: Dridex j. Aunque ha examinado todas las alertas de Sguil relacionadas con un ataque a un host de Windows el 3- 19-2019, puede haber información relacionada adicional disponible en Kibana. Cierre Sguil e inicie Kibana desde el escritorio. Parte 2: Usar Kibana para investigar alertas En la Parte 2, use Kibana para investigar más a fondo el ataque del 3-19-2019. Paso 1: Abre Kibana y reduce el plazo. a. Inicie sesión en Kibana VM con el nombre de usuario analyst y la contraseña cyberops b. Abra Kibana (analyst de nombre de usuario y ciberops de contraseña), haga clic en Últimas 24 horas y en la pestaña Intervalo de tiempo absoluto para cambiar el intervalo de tiempo al 1 de marzo de 2019 al 31 de marzo de 2019. c. La línea de tiempo Recuento total de registros a lo largo del tiempo mostrará un evento el 19 de marzo. Haga clic en ese evento para limitar el enfoque al intervalo de tiempo específico del ataque.
  • 6. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 6 de 9 www.netacad.com Paso 2: Revise las alertas en el marco de tiempo reducido. a. En el panel de control de Kibana, desplácese hacia abajo hasta la visualización Todos los sensores - Tipo de registro. Revise ambas páginas y tenga en cuenta la variedad de tipos de registro relacionados con este ataque. b. Desplácese hacia abajo y observe que el Resumen de Alertas de NIDS en Kibana tiene muchas de las mismas alertas de IDS que aparecen en Sguil. Haga clic en la lupa para filtrar en la segunda alerta ET TROJAN ABUSE.CH SSL Lista negra Certificado SSL malintencionado detectado (Dridex) de la dirección IP de origen 31.22.4.176.
  • 7. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 7 de 9 www.netacad.com c. Desplácese hacia abajo hasta Todos los registros y haga clic en la flecha para expandir el primer registro de la lista con la dirección IP de origen 31.22.4.176. Preguntas: ¿Cuál es el geopaís y la ubicación de la ciudad para esta alerta? Reino Unido, Newcastle-upon-Tyne ¿Cuál es el país y la ciudad geográficos para la alerta de 115.112?43.81? India, Bombay d. Desplácese hacia atrás hasta la parte superior de la página y haga clic en el enlace Inicio en Navegación. e. Anteriormente notamos tipos de registro como bro_http enumerados en el panel de inicio. Puede filtrar por los distintos tipos de registro, pero los paneles integrados probablemente tendrán más información. Desplácese hacia atrás a la parte superior de la página y haga clic en HTTP en el enlace del panel bajo Zeek Hunting in Navigation. f. Desplácese por el panel HTTP tomando nota de la información presentada y responda a las siguientes preguntas: Preguntas:
  • 8. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 8 de 9 www.netacad.com ¿Qué es el recuento de registros en el panel HTTP? ¿De qué países? 4, Estados Unidos y Holanda ¿Cuáles son los URI de los archivos descargados? /f4.exe, /ncsi.txt, /pki/crl/products/CSPCA.crl y /test1.exe g. Haga coincidir los URI HTTP con los sitios HTTP - en el panel de control. Pregunta: ¿A qué están relacionados los archivos CSPCA.crl y ncsi.txt? Utilice un navegador web y un motor de búsqueda para obtener información adicional. CSPCA.crl es una solicitud para la lista de revocación de certificados de Microsoft y ncsi.txt se refiere al indicador de estado de conexión de red y los hosts de Windows lo utilizan automáticamente como una autocomprobación para verificar la conectividad en línea. Enlaces de referencia para obtener más información: https://superuser.com/questions/427967/what-would-http-crl-microsoft-com-pki-crl-products-cspca-crl-be- used-for https://campus .barracuda.com/product/websecuritygateway/knowledgebase/50160000000auwRAAQ/should-i-block- http-www-msftncsi-com-ncsi-txt-on-my-barracuda-product/ h. Desplácese hacia atrás hasta la parte superior de la página web y en Navegación - Zeek Hunting haga clic en DNS. Desplácese hasta la visualización de consultas DNS. Observe la página 1 y página 3 de las consultas DNS. ¿Alguno de los dominios parece potencialmente inseguro? Intente enviar la URL toptoptop1.online a virustotal.com. ¿Cuál es el resultado? 4 motores de detección reconocen la URL como maliciosa con respecto al malware
  • 9. Laboratorio - Investigación de un ataque en un host de Windows  2020 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 9 de 9 www.netacad.com Escriba sus respuestas aquí. i. Para más investigación, intente examinar los siguientes paneles de Zeek Hunting: DCE/RPC: para obtener información sobre los procedimientos remotos de la red de Windows y los recursos involucrados Kerberos: para obtener información sobre los nombres de host y los nombres de dominio que se utilizaron PE: para obtener información sobre los ejecutables portátiles SSL y x.509: para obtener información sobre los nombres de los certificados de seguridad y los países que se utilizaron SMB : para obtener más información sobre las acciones de SMB en la red de littletigers Weird: para anomalías de protocolo y servicio y comunicaciones mal formadas Fin del documento