Equipo Azul | Investigación de malware y spam con Wireshark

PruebaHackMe Carnage

Cubrimos un análisis de un incidente con Wireshark. Utilizamos filtros Wireshark para investigar y revelar malware y su actividad.

Suscríbete a la membresía de mi canal de YouTube para recibir notas de ciberseguridad. También incluye notas sobre Wirehark.

Eric Fischer del Departamento de Compras de Bartell Ltd recibió un correo electrónico de un contacto conocido con un documento adjunto de Word. Al abrir el documento, accidentalmente hizo clic en "Habilitar contenido". El Departamento SOC recibió inmediatamente una alerta del agente de punto final de que la estación de trabajo de Eric estaba realizando conexiones salientes sospechosas. El pcap se recuperó del sensor de red y se lo entregó a usted para su análisis.

Obtenga notas del equipo azul

Tarea: Investigue la captura de paquetes y descubra las actividades maliciosas.

*El crédito va a Brad Duncan para capturar el tráfico y compartir la captura de paquetes pcap con la comunidad InfoSec. 

Respuestas al desafío

¿Cuál fue la fecha y hora de la primera HTTP ¿Conexión a la IP maliciosa?

(formato de respuesta: aaaa-mm-dd hh:mm:ss)

¿Cuál es el nombre del archivo zip que se descargó?

¿Cuál era el dominio que alojaba el archivo zip malicioso?

Sin descargar el archivo, ¿cuál es el nombre del archivo en el archivo zip?

¿Cuál es el nombre del servidor web de la IP maliciosa desde donde se descargó el archivo zip?

¿Cuál es la versión del servidor web de la pregunta anterior?

Se descargaron archivos maliciosos al host de la víctima desde múltiples dominios. ¿Cuales fueron los tres? dominios involucrados con esta actividad?

¿Qué autoridad certificadora emitió el certificado SSL para el primer dominio de la pregunta anterior?

¿Cuáles son las dos direcciones IP de los servidores de Cobalt Strike? Utilice VirusTotal (la pestaña Comunidad) para confirmar si las IP están identificadas como servidores Cobalt Strike C2. (formato de respuesta: ingrese las direcciones IP en orden secuencial)
¿Cuál es el encabezado de host para la primera dirección IP de Cobalt Strike de la pregunta anterior?
¿Cuál es el nombre de dominio de la primera dirección IP del servidor Cobalt Strike? Puede utilizar VirusTotal para confirmar si es el servidor Cobalt Strike (consulte la pestaña Comunidad).
¿Cuál es el nombre de dominio de la IP del segundo servidor Cobalt Strike? Puede utilizar VirusTotal para confirmar si es el servidor Cobalt Strike (consulte la pestaña Comunidad).

¿Cuál es el nombre de dominio del tráfico posterior a la infección?

¿Cuáles son los primeros once caracteres que el host de la víctima envía al dominio malicioso involucrado en el tráfico posterior a la infección?

¿Cuál fue la longitud del primer paquete enviado al servidor C2?

¿Cuál era el encabezado del servidor para el dominio malicioso de la pregunta anterior?

El malware utilizó una API para comprobar la dirección IP de la máquina de la víctima. ¿Cuál fue la fecha y hora en que DNS ¿Se produjo una consulta para el dominio de verificación de IP? (formato de respuesta: aaaa-mm-dd hh:mm:ss UTC)

¿Cuál era el dominio en el DNS consulta de la pregunta anterior?

Parece que se estaba produciendo alguna actividad de spam malicioso (malspam). ¿Cuál fue la primera dirección MAIL FROM observada en el tráfico?

¿Cuántos paquetes se observaron para el SMTP ¿tráfico?

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos