Cubrimos la segunda parte de los tutoriales de Wireshark donde repasamos el análisis de tráfico utilizando filtros avanzados. Analizamos el tráfico de red con diferentes protocolos como HTTP y DNS. También cubrimos el análisis de escaneos NMAP, ataques de envenenamiento ARP y túneles SSH. Además, explicamos cómo extraer credenciales de texto sin cifrar pasadas por protocolos inseguros como HTTP y FTP. Esto fue parte de TryHackMe Análisis de tráfico de Wireshark SOC Nivel 1.
Obtenga notas de estudio sobre análisis de tráfico de red
El curso práctico completo del marco Metasploit
Vídeos destacados
Al investigar una actividad comprometida o de infección de malware, un analista de seguridad debe saber cómo identificar los hosts en la red además de la IP para MAC coincidencia de dirección. Uno de los mejores métodos es identificar los hosts y usuarios de la red para decidir el punto de partida de la investigación y enumerar los hosts y usuarios asociados con el tráfico/actividad maliciosa.
Normalmente, las redes empresariales utilizan un patrón predefinido para nombrar usuarios y hosts. Si bien esto facilita conocer y seguir el inventario, tiene aspectos positivos y negativos. Lo bueno es que será fácil identificar a un usuario o host mirando el nombre. El lado malo es que será fácil clonar ese patrón y vivir en la red empresarial para los adversarios. Existen múltiples soluciones para evitar este tipo de actividades, pero para un analista de seguridad sigue siendo fundamental tener habilidades de identificación de host y usuario.
Protocolos que se pueden utilizar en la identificación de Host y Usuario:
Tráfico de túneles: ICMP y DNS
Análisis ICMP
El Protocolo de mensajes de control de Internet (ICMP) está diseñado para diagnosticar e informar problemas de comunicación de red. Se utiliza mucho en pruebas y informes de errores. Como es un protocolo de capa de red confiable, a veces se utiliza para denegación de servicio (DoS) ataques; Además, los adversarios lo utilizan en actividades de exfiltración de datos y túneles C2.
Análisis ICMP en pocas palabras:
Por lo general, los ataques de túnel ICMP son anomalías que aparecen o comienzan después de la ejecución de un malware o la explotación de una vulnerabilidad. Como los paquetes ICMP pueden transferir una carga útil de datos adicional, los adversarios utilizan esta sección para filtrar datos y establecer una C2 conexión. Podrían ser datos TCP, HTTP o SSH. Como los protocolos ICMP brindan una gran oportunidad para transportar datos adicionales, también tienen desventajas. La mayoría de las redes empresariales bloquean paquetes personalizados o requieren privilegios de administrador para crear paquetes ICMP personalizados.
Un gran volumen de tráfico ICMP o tamaños de paquetes anómalos son indicadores de tunelización ICMP. Aún así, los adversarios podrían crear paquetes personalizados que coincidan con el tamaño de paquete ICMP normal (64 bytes), por lo que sigue siendo engorroso detectar estas actividades de tunelización. Sin embargo, un analista de seguridad debe conocer lo normal y lo anormal para detectar la posible anomalía y escalarla para un análisis más detallado.
DNS Análisis
Sistema de nombres de dominio (DNS) está diseñado para traducir/convertir direcciones de dominio IP en direcciones IP. También se le conoce como directorio telefónico de Internet. Como es la parte esencial de los servicios web, se usa comúnmente y es confiable y, por lo tanto, a menudo se ignora. Debido a eso, los adversarios lo utilizan en la filtración de datos y en actividades C2.
Análisis de protocolo de texto sin cifrar
Investigar rastros de protocolos de texto claro parece fácil, pero cuando llega el momento de investigar un gran rastro de red para el análisis y la respuesta a incidentes, el juego cambia. Un análisis adecuado es más que seguir la transmisión y leer los datos en texto claro. Para un analista de seguridad es importante crear estadísticas y resultados clave del proceso de investigación.
Respuestas de la habitación
Utilice el archivo “Desktop/exercise-pcaps/arp/Exercise.pcapng”.
¿Cuál es el número de ARP ¿Solicitudes elaboradas por el atacante?
¿Cuál es el número de HTTP paquetes recibidos por el atacante?
¿Cuál es el número de entradas de nombre de usuario y contraseña rastreadas?
¿Cuál es la contraseña del “Cliente986”?
¿Cuál es el comentario proporcionado por el “Cliente354”?
Utilice el archivo “Desktop/exercise-pcaps/dhcp-netbios-kerberos/dhcp-netbios.pcap”.
Cuál es el MAC ¿Dirección del host “Galaxy A30”?
¿Cuántas solicitudes de registro NetBIOS tiene la estación de trabajo “LIVALJM”?
Utilice el archivo “Desktop/exercise-pcaps/dhcp-netbios-kerberos/kerberos.pcap”.
¿Cuál es la dirección IP del usuario “u5”? (Ingrese la dirección en formato desactivado).
Investiga los paquetes anómalos. ¿Qué protocolo se utiliza en la tunelización ICMP?
Utilice el archivo “Desktop/exercise-pcaps/dns-icmp/dns.pcap”.
Investiga los paquetes anómalos. ¿Cuál es la dirección de dominio principal sospechosa que recibe mensajes anómalos? DNS consultas? (Ingrese la dirección en formato desactivado).
Utilice el archivo “Desktop/exercise-pcaps/ftp/ftp.pcap”.
¿Cuántos intentos de inicio de sesión incorrectos hay?
¿Cuál es el tamaño del archivo al que accede la cuenta “ftp”?
El adversario subió un documento a la ftp servidor. ¿Cuál es el nombre del archivo?
El adversario intentó asignar indicadores especiales para cambiar los permisos de ejecución del archivo cargado. ¿Cuál es el comando utilizado por el adversario?
Investigar los agentes de usuario. ¿Cuál es el número de tipos anómalos de “usuario-agente”?
¿Cuál es el número de paquete con una sutil diferencia ortográfica en el campo del agente de usuario?
Utilice el archivo “Desktop/exercise-pcaps/http/http.pcapng”.
Localice la fase de inicio del ataque “Log4j”. ¿Cuál es el número de paquete?
Localice la fase de inicio del ataque “Log4j” y decodifique el comando base64. ¿Cuál es la dirección IP contactada por el adversario? (Ingrese la dirección en formato desactivado y excluya “{}”.)
¿Cuál es el número de fotograma del mensaje "Cliente Hola" enviado a "accounts.google.com"?
Descifre el tráfico con el archivo "KeysLogFile.txt". ¿Cuál es la cantidad de paquetes HTTP2?
Vaya al cuadro 322. ¿Cuál es el encabezado de autoridad del paquete HTTP2? (Ingrese la dirección en formato desactivado).
¡Investiga los paquetes descifrados y encuentra la bandera! ¿Qué es la bandera?
¿Cuál es el número del paquete donde se envió la “contraseña vacía”?
Seleccione el paquete número 231. Cree reglas de “IPFirewall”. ¿Cuál es la regla para “permitir el destino MAC DIRECCIÓN"?
Tutorial en vídeo