PRÁCTICAS SEMANA 06

“LA INTELIGENCIA CONSISTE NO SÓLO EN EL CONOCIMIENTO, SINO TAMBIÉN EN LA DESTREZA DE

APLICAR LOS CONOCIMIENTOS EN LA PRÁCTICA”
ANÁLISIS FORENSE DE LA RED

EJERCICIO 01 – Investigando Ataques de Red

Utilizando la herramienta Kiwi Log Viewer abrir el archivo llamado “Trojan”:

Al analizarlo, el cliente njRAT es ejecutandose en la IP 10.0.0.12, que es la máquina atacante:

Luego abro otro archivo llamado “FTP_Attack” y lo analizo:

Al analizarlo, debemos saber que al intentar loguearse con credenciales no válidas a un FTP Server, se
devuelven respuestas: 530, 230, 331, etc. Y bueno, se detectan varias respuestas 530 que denotan este tipo
de comportamiento:

Podemos
resaltar porciones para poderlo leer de mejor manera:

Y configurar visualizaciones como las siguientes:

Y podemos observar en el momento que el brute force attack logra su objetivo:
EJERCICIO 02 – Investigando Tráfico de Red

Utilizando la herramienta WireShark abrir el archivo llamado “Packet Capture.pcapng”:

Podemos poner un
filtro de http:

Dado que cuando se realiza un evento de POST bajo el protocolo HTTP, se están enviando datos típicamente
de un formulario, entonces capturar este evento es importante, podemos incorporar el siguiente filtro para
identificar este tipo de captura: http.request.method == POST en el campo de filtro y obtenemos:
Y si analizamos la porción de HTML Form URL Encoded, podremos identificar las credenciales colocadas en el
formulario…

Utilizando otro ejemplo de análisis, podemos ver tráfico con anomalías en el DNS, para ello utilizaremos el
archivo para analizarlo llamado “dns-remoteshell.pcap”:
Como el DNS utiliza el puerto 53, podemos utilizar el siguiente filtro: tcp.port == 53 en el campo filtro y
obtendremos:

Como lo muestra la figura anterior, hagamos la selección recomendada para tener la información en orden
de secuencia. Y luego podemo identificar que se logró ejecutar un Shell Remoto en el puerto 53: