Practica 4_1 Investigacion elastic

Ejercicio 1

Primero nos piden quien descargo el archivo con doble extensión , por lo que vamos a buscar un filtro que cumpla dicha función:

Para ello accedemos a Security > Alerts y ponemos ese filtro , que buscara archivos con nombre el que sea y con dos extensiones.

C:\Users\Portátil\AppData\Local\Packages\Microsoft.Windows.Photos_8wekyb3d8bbwe\TempState\ShareServiceTempFolder\Captura de pantalla 2024-03-01 130558.jpeg

Como podemos ver el usuario que descargo primero el archivo fue Ahmed

Ejercicio 2

Ahora nos pide el nombre del hostname:

Que podemos encontrar en la misma búsqueda.

Ejercicio 3

Tambien con el mismo filtro nos preguntan el nombre del archivo que seria este:

Ejercicio 4

Ahora nos piden la ip del atacante, asi que para este ejercicio comenzaremos buscando el archivo:

Luego buscamos el evento donde se descarga el pdf que en este caso es el penúltimo y clickamos en el anayler:

Una vez aquí clickamos en network:

Y vemos que la ip del atacante es la 192.168.1.10 ya que será a la que se le devuelva el paquete de vuelta que tiene pinta de que es una reverse Shell.

Ejercicio 5

En cuanto al otro usuario que tiene mas privilegios que utiliza el mismo archivo como podemos ver en la captura , es cybery , ya que tiene pinta que ha escalado sus privilegios de una cuenta con pocos permisos a una mas privilegiada.

C:\Users\Portátil\AppData\Local\Packages\Microsoft.Windows.Photos_8wekyb3d8bbwe\TempState\ShareServiceTempFolder\Captura de pantalla 2024-03-01 130558.jpeg

Ejercicio 6

En esta ocasión nos piden un tipo de archivo DLL con 8704 bits imagino , asi que vamos a utilizar los filtros:

Y este seria el nombre de la librería.

Ejercicio 7

Para este ejercicio necesitamos saber el nombre del proceso padre que abre un cmd con el pid 10716 asi que vamos a ejecutar el siguiente filtro:

Y como podemos ver el nombre del proceso es rundll32.exe

Ejercicio 8

Si en ese mismo packete que tenemos las repuesta del ejercicio 7 abrimos el analyzer :

Vemos que tiene un registro , que será al que accedió el proceso:

Ejercicio 9

Para este ejercicio tendremos que ir al apartado Security > Hosts > Events y dentro escribir el siguiente filtro:

Abrimos el analyzer y buscamos en archivos:

Y podemos ver el nombre del archivo , se que es este y no ninguno de los otros 8 registros por que este es el único que no esta dentro de la carpeta temporales , por lo que este es el único que pertenece a la maquina realmente.

Ejercicio 10

Aquí piden algo similar pero en ves de que modifico , que archivos ps1 creo. Asi que vamos a crear el filtro:

Una vez tenemos el filtro abrimos el anayler del ultimo packete:

Y aquí tendríamos el nombre del archivo:

Ejercicio 11

Para este ejercicio primero vamos a security>hosts , nos piden el otro equipo en la misma lan que el equipo Windows:

Si entramos en el DESKTOP…. (que es el Windows) vamos a ver en que red se encuentra:

Y parece que es la 192.168.10.0 /24 , si filtramos por esa red en el buscador:

Vemos que el otro equipo es el Ubuntu y si clickamos en el podemos ver su ip:

Ejercicio 12

Para este ejercicio debemos ver con que usuario se logueo el atacante tras el ataque de fuerza bruta , si miramos desde la misma pantalla donde vimos la ip del equipo vemos los intentos de autentificación:

Y como podemos ver accedió al usuario salem desde la ip del otro equipo Windows que fue el primero comprometido. Asi que hizo pivoting de esta manera.

Ejercicio 13

Para este ejercicio necesitamos saber el path completo del directorio de github que se descargo desde la maquina Ubuntu comprometida utilizando el comando wget , asi que vamos a crear un filtro que utilize el nombre de la maquina , el usuario en concreto y el comando utilizado:

Al introducir este filtro encontramos lo siguiente:

Si abrimos el analyzer del ultimo evento que será cuando se ejecuta la descarga vemos lo siguiente:

Y vemos la ruta de github que utilizo.

Ejercicio 14

Comenzaremos buscando en la maquina ubunto por un proceso llamado pkexec:

Abrimos el analyzer del segundo evento que tiene exec como action, y bucamos el hash del proceso pkexec:

Y encontramos el hash del proceso.

Ejercicio 15

Vamos a crear un filtro para que busque un proceso con el pid que nos pide el ejercicio con el usuario root en la maquina Ubuntu:

Y parece que el comando empleado para generar la Shell fue bash –i

Ejercicio 16

Primero vamos al apartado security > overview , y luego en el filtro vamos a buscar por lo que nos indica el ejercicio:

Clickamos en el botón para ver el timeline y vemos lo siguiente:

Y vemos que el hostname es CentOS

Ejercicio 17

Aquí buscaremos en el filtro un proceso que se llame netcat y que además haya sido ejecutado:

Como se puede ver en la captura el usuario que ejecuto el netcat fue solr

Ejercicio 18

Para este ejercicio simplemente debemos seguir donde lo dejamos en el 17 y abrimos el analyzer 👍

Y como vemos en el grafico parent process es java.

Ejercicio 19

Aquí simplemente clickando en el analyzer del nc vemos el comando completo si juntamos todos los process args:

Ejercicio 20

Buscando en internet encontré la siguiente vulnerabilidad de java:

Ejercicio 21

Para este ejercicio primero de todo debemos ir al buscador por defecto de kibana , una vez hecho esto debemos filtrar por filebeat:

Y con el siguiente filtro vemos la ruta completa del archivo log en amarillo

Ejercicio 22

Si hacemos click en la flecha para desplegar las opciones vemos en el campo message , la ruta vulnerable:

Ejercicio 23

Tras investigar un poco la vulnerabilidad parece que utilizaba el parámetro foo:

Ejercicio 24

Y en el mismo message tienes el payload jndi que encadena con el puerto ldap

Tambien podrias haber utilizado el siguiente filtro: