Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • CyberOps Skills Assessment - Student TRNG - Exam ESPAÑOL

    Cargado por

    Sebastian Navarro
    2K vistas4 páginas
    Respuestas parciales del Skills Assessment en Español

    Título original

    CyberOps Skills Assessment - Student Trng - Exam ESPAÑOL

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    ODT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Respuestas parciales del Skills Assessment en Español

    Copyright:

    © All Rights Reserved
    Descargue como ODT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    2K vistas4 páginas

    CyberOps Skills Assessment - Student TRNG - Exam ESPAÑOL

    Cargado por

    Sebastian Navarro
    Respuestas parciales del Skills Assessment en Español

    Copyright:

    © All Rights Reserved
    Descargue como ODT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    CCNA Cybersecurity Operations v1.

    1
    Evaluación de habilidades
    Introducción
    Cuando están trabajando como analistas especializados en seguridad en ACME Inc., detectan cierta
    cantidad de eventos en la consola de SGUIL. Su tarea es analizar estos eventos, obtener más información y
    determinar si son indicadores de actividad maliciosa.
    Podrán acceder a Google para buscar más información sobre los eventos. Security Onion es la única VM con
    acceso a Internet en el entorno virtual de Cybersecurity Operations.
    Las tareas que se detallan a continuación están diseñadas para ofrecer ciertas pautas de orientación para
    todo el proceso de análisis.
    Se practicarán y evaluarán las siguientes habilidades:
    o Evaluar eventos de Snort/SGUIL.
    o Utilizar SGUIL como punto base para iniciar ELSA, Bro y Wireshark y profundizar la inspección de los
    eventos.
    o Utilizar las búsquedas de Google como herramienta para obtener información sobre un ataque
    potencial.
    El contenido de esta evaluación se extrajo de http://www.malware-traffic-analysis.net/ y se utiliza con el
    .debido permiso. Agradecemos la posibilidad de utilizar este material

    Tabla de asignación de direcciones


    Las siguientes direcciones están preconfiguradas en los dispositivos de red. Las direcciones se proporcionan
    con fines de consulta.

    Dispositivo Interface Red/Dirección Descripción

    eth0 192.168.0.1/24 Interfaz conectada a la red interna


    VM Security Onion
    eth2 209.165.201.21/24 Interfaz conectada a redes externas/Internet

    Parte 1: Recopilar información básica


    a. Inicien sesión en la VM Security Onion con el nombre de usuario analyst y la contraseña cyberops.
    b. Abran una ventana del terminal. Introduzcan el comando sudo service nsm status para verificar que
    todos los servicios y sensores estén listos.
    c. Cuando el servicio dsm esté listo, inicien sesión en SGUIL con analyst como nombre de usuario y
    cyberops como contraseña. Hagan clic en Select All (Seleccionar todas) para monitorear todas las
    redes. Haga clic en Start SQUIL (Iniciar SQUIL) para continuar.
    d. En la ventana de SGUIL, identifiquen el grupo de eventos asociado con el o los ataques. Este grupo de
    eventos está relacionado con un único ataque de varios componentes.
    ¿Cuántos eventos generó todo el ataque?
    De la columna Alert ID se deduce que el ataque generó 11 conjuntos de eventos correlacionados, que
    originan del sensor Snort a través de la interfaz eth0 (3). De estos once, los eventos 724, 728 y 732
    fueron, cada uno, 28 veces detectados para la misma direccion IP de origen y de destino.

    © Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 4
    Evaluación de habilidades CCNA Cybersecurity Operations v1.0

    e. Según SGUIL, ¿cuándo comenzó el ataque? ¿Cuándo terminó? ¿Cuánto duró aproximadamente?
    Comenzó a las 15:31:12hs y finalizó a las 15:31:34hs, es decir que duró 24 segundos.
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    f. ¿Cuál es la dirección IP de la computadora interna involucrada en los eventos?
    La direccion IP de origen es 192.168.0.12__________________________________________________

    g. ¿Cuál es la dirección MAC de la computadora interna involucrada en los eventos? ¿Cómo la


    averiguaron?
    Pivoteando desde una de las alertas hacia Wireshark, es posible conocer la direccion MAC de la PC
    interna (de origen), analizando el encabezado Ethernet II correspondiente a la capa de enlace de datos.
    La MAC de origen es 00:1b:21:ca:fe:d7
    h. ¿Cuáles son algunos de los ID de origen de las reglas que se activan cuando ocurre el ataque? ¿De
    dónde provienen los ID de origen?
    El origen de los eventos maliciosos comienzan con “3”, y corresponden a una regla disparada de Snort a
    través de la interfaz eth0 que está conectada a la red interna. Luego, cada uno de estos once conjuntos
    de eventos correlacionados, estan asociados a una regla de Snort identificada por un numero único.
    Al activar el casillero “Show Rule” de la ventana inferior derecha, es posible conocer la regla de Snort
    que activó la alerta seleccionada. La estructura de esta regla es divide en, por lo menos, dos secciones,
    la segunda corresponde a las opciones de la regla, que entre otras cosas, indican la ID de la regla de
    Snort.
    Alli, por ejemplo, se ve que el evento 3.722 fue consecuencia de la sid:2014726, el evento 3.723 →
    sid:2018442, o 3.787 → sid:2019645.
    En esa misma seccion es tambien posible conocer la fuente de la regla, que para los 11 eventos, el
    origen es ET, una regla para amenazas emergentes.
    i. ¿Los eventos les parecen sospechosos? ¿La computadora interna parece estar infectada o en riesgo?
    Explique.
    Los eventos parecen sospechosos __________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    j. ¿Cuál es el sistema operativo que se está ejecutando en la computadora interna en cuestión?
    Al hacer click derecho sobre el Alert ID y seleccionando “Transcript”, se puede conocer el SO del
    dispositivo de origen al leer la fila OS Fingerprint. En este caso indica Windows XP/2000

    Parte 2: Obtener información sobre el ataque


    a. Según Snort, ¿cuál es el kit de ataque (exploit kit, EK) en uso?
    ____________________________________________________________________________________
    b. ¿Qué es un kit de ataque?
    ____________________________________________________________________________________
    c. Realicen una búsqueda rápida en Google de “Angler EK” para conocer los conceptos básicos del kit de
    ataque. Resuman lo que encuentren y anótenlo aquí.
    ____________________________________________________________________________________

    © Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 4
    Evaluación de habilidades CCNA Cybersecurity Operations v1.0

    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    d. ¿Este ataque se corresponde con la definición de un kit de ataque? Indiquen ejemplos de los eventos
    que ven en SGUIL.
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    e. ¿Cuáles son las principales etapas de los kits de ataque?
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________

    Parte 3: Determinar el origen del malware


    a. En el contexto de los eventos que se muestran en SGUIL para este ataque, anoten las direcciones IP
    involucradas a continuación.
    ___________________________________________________________________________________
    ___________________________________________________________________________________
    ___________________________________________________________________________________
    b. El primer evento nuevo que se muestra en SGUIL contiene el siguiente mensaje: “ET Policy Outdated
    Flash Version M1” (“Política de ET desactualizada; versión M1 de Flash”). ¿A qué host se refiere el
    evento? ¿Qué implica ese evento?
    ___________________________________________________________________________________
    c. Según SGUIL, ¿cuál es la dirección IP del host que parece haber aplicado el ataque?
    ____________________________________________________________________________________
    d. Desde SGUIL, abran la transcripción de la transacción. ¿Cuál es el nombre de dominio asociado con la
    dirección IP del host que parece haber aplicado el ataque?
    ____________________________________________________________________________________
    e. Este kit de ataque habitualmente tiene como objetivo vulnerabilidades en tres aplicaciones de software,
    ¿cuáles?
    ____________________________________________________________________________________
    f. En función de los eventos de SGUIL, ¿qué vulnerabilidades parece haber utilizado el kit de ataque?
    ____________________________________________________________________________________

    g. ¿Cuál es el tipo de archivo más común relacionado con ese software vulnerable?
    ____________________________________________________________________________________

    © Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 4
    Evaluación de habilidades CCNA Cybersecurity Operations v1.0

    h. Utilicen ELSA para reunir más evidencia que respalde la hipótesis de que el host que identificaron antes
    aplicó el malware. Abran ELSA y generen una lista de todos los hosts que descargaron el tipo de archivo
    antes mencionado. Recuerden ajustar el período según corresponda.
    ¿Pudieron encontrar más evidencias? Si es así, anoten lo que encontraron aquí.
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    i. En este momento deberían saber, con cierto nivel de certeza, si el sitio que se incluye en la Parte 3b y
    en la Parte 3c aplicó el malware. Anoten sus conclusiones a continuación.
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________

    Parte 4: Analizar detalles del ataque


    a. Los kits de ataque a menudo dependen de una página de inicio de sesión que se utiliza para escanear el
    sistema de la víctima en busca de vulnerabilidades y para exfiltrar una lista de esas vulnerabilidades.
    Utilicen ELSA para determinar si el kit de ataque en cuestión utilizó una página de inicio de sesión. Si es
    así, ¿cuáles son su URL y su dirección IP? ¿Cuál es la evidencia?
    Pista: Los dos primeros eventos de SGUIL contienen muchas pistas.
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    b. ¿Cuál es el nombre de dominio que aplicó el kit de ataque y la carga útil del malware?
    ___________________________________________________________________________________
    c. ¿Cuál es la dirección IP que aplicó el kit de ataque y la carga útil del malware?
    ___________________________________________________________________________________
    d. Desde los eventos en SGUIL, abran Wireshark y exporten los archivos de los paquetes capturados tal
    como se hizo en una práctica de laboratorio anterior. ¿Qué archivos o programas pudieron exportar con
    éxito?
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________
    ____________________________________________________________________________________

    © Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 4

    También podría gustarte