Cyber
Incidentes de ciberseguridad
Analisis ForenseIncidentes de ciberseguridadDocumentacionHacking eticoTryHackMeNormativa
Incidentes de ciberseguridad
Analisis ForenseIncidentes de ciberseguridadDocumentacionHacking eticoTryHackMeNormativa
  • Practica1.1 Retos de cifrado simetrico y asimetrico
  • Practica1.0 Busqueda de leaks
  • Practica1.2 Envio email cifrado con thunderbird
  • Practica1.3 Phising y otras estafas
  • opcional sakura_room
  • opcional WebOsint
  • Practica2.1 Generacion de elementos
  • Practica2.2.2 Entrenamiento con phising email
  • practica2.2 gophish
  • Practica 3 2 Volumenes en docker
  • Practica 3 3 Profundizacion Syslog ng
  • Practica 3 4 Port Knocking
  • Practica 3 5 Montaje SOC con ELK
  • Practica4_2 Investigacion defacement
  • Practica4_3 Splunk
  • Practica 4_1 Investigacion elastic
  • Slingshot
  • Wazuh
  • AWS
  • Opcional1.0 Phising
  • Practica 4_4 Splunk exploring spl
  • Practica4_4_1 Splunk Dashboards
  • wireshark
Powered by GitBook
On this page
  • Pregunta 101
  • Pregunta 102
  • Pregunta 103
  • Pregunta 104
  • Pregunta 105
  • Pregunta 106
  • Pregunta 108
  • Pregunta 109
  • Pregunta 110
  • Pregunta 111
  • Pregunta 112
  • Pregunta 114
  • Pregunta 115
  • Pregunta 116
  • Pregunta 117
  • Pregunta 118
  • Pregunta 119

Practica4_3 Splunk

PreviousPractica4_2 Investigacion defacementNextPractica 4_1 Investigacion elastic

Last updated 1 year ago

Contenido

Pregunta 101 2

Pregunta 102 2

Pregunta 103 3

Pregunta 104 4

Pregunta 105 4

Pregunta 106 4

Pregunta 108 5

Pregunta 109 6

Pregunta 110 6

Pregunta 111 7

Pregunta 112 8

Pregunta 114 8

Pregunta 115 9

Pregunta 116 10

Pregunta 117 10

Pregunta 118 11

Pregunta 119 11

Pregunta 101

En la primera pregunta nos piden la ip de alguien del grupo de poisonivy que hackeo el dominio imreallynotbatman.com

Aquí lo que hicimos es filtrar por la url y luego a la izquierda en el campo src_ip , que muestra el origen de la ip de las peticiones de los equipos vemos como la ip que mas peticiones realizo con diferencia fue la 40.80.148.42 asi que parece que esa es la que estamos buscando.

R: 40.80.148.42

Pregunta 102

Para este segunda pregunta nos piden la empresa que creo el escáner web. Como estamos buscando un escáner web lo normal es que sea un archivo .exe y que además haya utilizado una petición POST para ejecutarse.Asi que vamos a buscar eso con la dirección fuente de la maquina atcante y como destino la ip del servidor:

Tras revisar las cabeceras de la petición vemos como hace referencia a una web:

R: acunetix

Pregunta 103

Ahora nos pide el nombre del cms que usa el dominio , para ello vamos a filtrar por peticiones GET con código 200 (ok) y que hayan sido realizadas por la ip atacante 40.80.148.42:

Y en el primer evento que nos encontramos:

R: joomla

Pregunta 104

Para esta pregunta nos piden el archivo que provoco el defacement de la web. Para ello vamos a buscar un evento que tenga como src ip la ip del servidor atacado ya que será desde donde se descarge el archivo y como seguramente lo haya hecho a través de http vamos a especificar el sourcetype con stream:http :

Y vemos lo siguiente:

R: poisonivy-is-coming-for-you-batman.jpeg

Pregunta 105

En el mismo evento anterior nos encontramos con esto:

Ya que al hacer la petición de la imagen también obtenemos el fqdns de la web desde donde la descargo.

R: prankglassinebracket.jumpingcrab.com

Pregunta 106

Para esta pregunta nos piden la ip del servidor desde donde descargamos la imagen asi que también en el mismo evento la encontramos:

R: 23.22.63.114

Pregunta 108

Para esta pregunta nos pide la ip desde la que se hizo el ataque de fuerza bruta asi que por lógica será desde una ip desde donde se le haya hecho muchas peticiones a nuestro servidor.Ademas sabemos que serán peticiones POST como cuando intentamos hacer un login:

Aquí podemos ver como definitivamente mediante el comando stats y sobre todo el form data que desde la ip 23.22.63.114 se están lanzando intentos de login con credenciales random asi que parece que tenemos un ganador.Pero antes vamos a ver cuantas peticiones y desde donde se hicieron:

Parece que desde nuestro sospechoso se hicieron 412 pero tenemos otra ip con 10341 peticiones , puede ser que también este haciendo un ataque de fuerza bruta?:

Y como podemos ver con el siguiente filtro vemos que no esta realizando login sino que esta haciendo otras cosas.

R: 23.22.63.114

Pregunta 109

A continuación nos piden el nombre del ejecutable que subio poisonivy.Para este ejercicio vamos a utilizar la petición del ejercicio anterior y añadirle *.exe para que busque ejecutables:

Y si bajamos un poco por los eventos vemos como uno de ellos tiene como muchísimos caracteres raros que identificamos como lo que se muestra en la web tras el defacement:

R: 3791.exe

Pregunta 110

Para este ejercicio necesitamos la firma MD5 del archivo ejecutable de la pregunta anterior para eso simplemente ejecutamos el siguiente filtro:

Y vemos como solo encontramos 1 evento , este filtro sirve para cuando se ejecuto en la consola del equipo asi que es inequívoco y luego si miramos al menú de la izquierda.

Y clickamos en MD5:

R: AAE3F5A29935E6ABCC2C2754D12A9AF0

Pregunta 111

Para este apartado necesitamos la firma SHA256 del archivo utilizado por poisonivy para hacer spearphising.Asi que para esto necesitaremos el uso de la pagina virustotal,lo primero será acceder al apartado search y poner la ip del equipo de la pregunta 107 :

Y tral clickar en relations vemos como esta relacionado con estos archivos.Pero el señalado para mas sospechoso de lo habitual.Si clickamos en el :

Vemos que se trata de un trojano asi que hemos dado con el , vamos a ver su SHA256.

R: 9709473ab351387aab9e816eff3910b9f28a7a70202e250ed46dba8f820f34a8

Pregunta 112

Ahora queremos saber el código hex asociado a este malware y en el apartado de comunnity lo encontramos:

R: 53 74 65 76 65 20 42 72 61 6e 74 27 73 20 42 65 61 72 64 20 69 73 20 61 20 70 6f 77 65 72 66 75 6c 20 74 68 69 6e 67 2e 20 46 69 6e 64 20 74 68 69 73 20 6d 65 73 73 61 67 65 20 61 6e 64 20 61 73 6b 20 68 69 6d 20 74 6f 20 62 75 79 20 79 6f 75 20 61 20 62 65 65 72 21 21 21

Pregunta 114

Nos piden la primera contraseña que se intento en el ataque de fuerza bruta.Para ello vamos a filtrar por peticiones POST y además utilizaremos una expresión regular para extraer solo la contraseña del form data luego las ordenaremos y las filtraremos por el tiempo:

R: 12345678

Pregunta 115

Para este apartado nos piden la contraseña del ataque de fuerza bruta por lo que estará en el listado anterior pero que contenga solo 6 letras y sea el titulo de una canción de cold play.Asi que vamos a añadir la parte en el filtro para filtrar por 6 caracteres:

Y luego vamos a indagar un poco por internet:

R: yellow

Pregunta 116

Ahora nos pide la contraseña con la que accedió al panel de admin tras la fuerza bruta.Asi que por lógica será la pass que tras hacerle un count > 2 es decir que se haya encontrado en el ataque de fuerza bruta y luego se haya utilizado otra vez para ya entrar el atacante:

R: batman

Pregunta 117

Ahora nos piden la media de caracteres que utilizo el ataque de fuerza bruta, para ello vamos a utilizar la etiqueta avg y luego lo ordenamos:

R: 6

Pregunta 118

Para esta pregunta nos piden el tiempo que paso desde que encontró la contraseña batman el ataque de fuerza bruta hasta que luego lo utilizo el atacante para acceder desde el login.

Aquí cabe comentar el uso de transaction que se utiliza para destacar eventos con una misma ocurrencia en este caso batman , y luego el duration,2 nos dice la duración entre ambos eventos encontrados en el transaction.

R: 92.17

Pregunta 119

Para la ultima pregunta los pide los intentos unicos del ataque de fuerza bruta para eso simplemente deberemos utilizar el filtro anterior para ver las contraseñas pero quitando los repetidos:

R: 412