Está en la página 1de 5

TERCERA PRÁCTICA CALIFICADA – PARTE PRÁCTICA

APELLIDOS Y NOMBRES: MUCCHING VIDAL KENJI ARMANDO CODIGO: 20162562I

Usando el SecurityOnion. Abrir el navegador e ingresar a la página:


https://www.malware-traffic-analysis.net/2018/01/11/index.html
Descargar el ataque RIG-EK.

Realizar la disección del ataque, mostrando las evidencias de cada paso seguido y
la información relevante que comprueban sus conjeturas de cómo se realizó el
ataque.
Deberá generar un entregable WORD, que debe contener:
1. Identificación del archivo de captura correspondiente a los ataques que
analizara.
2. Modelo conceptual de la variante EK que está analizando. Utilice información
técnica de los fabricantes de antimalware y productos de seguridad. Registrar la
fuente de información.
Se está analizando un ataque Rig EK, este tipo de ataques suele comenzar
cuando el usuario visita un sitio web comprometido que carga la página de destino
de RIG EK en un iframe. El RIG EK utiliza varias técnicas para entregar el
cargador NSIS (Nullsoft Scriptable Install System), que aprovecha la técnica de
inyección PROPagate para inyectar shellcode en explorer.exe.
En el ataque que se va a analizar corresponde a una vulnerabilidad en el antivirus
de la víctima aprovechada por el atacante. Para esto utilizó un servidor
comprometido en bing para que la víctima descargue el paquete de ataque.
Fuente: https://www.fireeye.com/blog/threat-research/2018/06/rig-ek-delivering-
monero-miner-via-propagate-injection-technique.html
3. Identificado los componentes conceptuales del ataque. Mapearlos a los recursos
involucrados en cada ataque especifico.
Víctima:

IP: 10.1.11.101
Mac: 0008021C47AE
SO: Windows
Servidor Comprometido:
IP: 204.79.197.200
MAC: 20E52AB693F1
Nombre de dominio: NETGEAR
Nombre del servidor: www.bing.com
Servicio comprometido: Netgear
Probable mecanismo de compromiso: Descarga de una aplicación
Comprobación del mecanismo de compromiso:

Evidencia:
Gateway:
IP: 188.227.16.131
Nombre del servidor: Netgear
Nombre del dominio:
Identificación servidor de derivación:
Mecanismo utilizado: POST
Servidor Malicioso:
IP: 104.236.16.69
Nombre del servidor: NETGEAR
Nombre del dominio:
Artefactos maliciosos: Rig-EK
IP: 104.236.16.69
Nombre del servidor: saumottam.ru
Nombre del dominio: saumottam
VIRUS TOTAL:

Carga útil: La carga útil de este ataque pudo deberse por alguna filtración
de la desactualización del antivirus.
Mecanismo usado:
Al momento de hacer la descarga se ejecuta la explosión de paquetes.
Respuesta al ataque:
Ya que este ataque utilizó una aplicación para poder llevar a cabo la explosión de
paquetes. Se debe mantener actualizado los antivirus instalados en el equipo de la
víctima. Así mismo, el explorador a través del cual la víctima entró al servidor
comprometido es desfasado (Bing) y este no tiene la suficiente seguridad al
momento de entrar a ciertas páginas web. Se sugiere utilizar otros navegadores
como Google Chrome o Microsoft Edge.

También podría gustarte