Cybersecurity Operations.

CyberOps Associate
Evaluación práctica
Introducción
Al trabajar como analista de seguridad de ACME Inc., realiza pruebas, recibe y visualiza una serie de eventos.
Su tarea es analizar estos eventos, aprender más sobre ellos y decidir si indican actividad maliciosa. Puede
investigar y usar Google para obtener más información sobre los eventos. Las siguientes tareas están
diseñadas para proporcionar alguna orientación a través del proceso de análisis. Practicará y evaluará las
siguientes habilidades:
o Uso de Wireshark para inspeccionar eventos.
o Uso de herramientas de análisis de información.
o Uso de herramientas de cracking de archivos protegidos por contraseña.
o Uso de herramientas de la línea de comandos, si no están, debe instalarlas.

Debe evidenciar todo con capturas de pantalla y el comando usado. 200 pts en total

Part 1: Obtener información usando herramientas de reconocimiento

activo. 15 pts
Hay un servidor con IP 198.199.77.162, al que le debe realizar un escaneo y encontrar información que
le pueda resultar útil para la investigación. Agregue las capturas de pantalla como evidencia.
a. ¿Qué servicios y su versión tiene disponibles el servidor? 5 pts

-p- = Escaneo de los 65536 puertos existentes.

-sS = Solo Escaneo puertos TCP.
--open = Muestra todos los servicios con el estado OPEN.
--min-rate 500 = Las peticiones de paquetes son mayor a 500 paquetes por segundo.
-Pn = Omite el descubrimiento de Host.
-n = Sin resolución de DNS.

© FRAD Nicolás Contador/Miguel Ortiz. Page 1 of 20

Examen Final Práctico CCNA Cybersecurity Operations

b. Busque más información e indique qué versión tiene disponibles el servidor. 5 pts

-p21,22,80 = Puertos definidos de forma manual.

-sV = Escaneo pasivo de versión de cada servicio definido anteriormente.
-oN = Archivo de salida al terminar el escaneo.

c. Obtenga algo más de información interesante. 5 pts

-p21,22,80 = Puertos definidos de forma manual.

--script vuln = uso de vulnerabilidades conocidas en cada servicio.

© FRAD Nicolás Contador/Miguel Ortiz. Page 2 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 2: Reúne información de una captura. 30 pts

Durante una captura de tráfico se obtuvo el siguiente archivo que debe ser analizado usando wireshark o
similar. https://drive.google.com/file/d/1JglVti76wHd6RYPMKT7TFW-WyfiM2mgU/view?usp=sharing
Analice el archivo pcap y luego responda.
a. ¿Desde dónde descargó el archivo el usuario? 5 pts

El archivo fue descargado desde la ip 3.129.20.175 a través de un servicio FTP hacia el dispositivo
destino 10.0.2.86
b. ¿Cuáles fueron las credenciales usadas por el usuario para acceder al sitio y descargar el archivo? 5pts

User: cyberops Password: abc123

© FRAD Nicolás Contador/Miguel Ortiz. Page 3 of 20

Examen Final Práctico CCNA Cybersecurity Operations

c. Obtenga el archivo como evidencia. Indique nombre y extensión del archivo y cómo logró extraerlo de la
captura, además de los hashes MD5, SHA1, y SHA256. 5 pts
Nombre y extensión.

Nombre del archivo: iocsmalwarelist Extensión: PDF

Extracción del archivo.

Filtramos por FTP-DATA para ver todas las peticiones que se realizaron a través de este protocolo:

Buscamos la petición con mayor tamaño (length’s) y hacemos seguimiento TCP para extraer el archivo

© FRAD Nicolás Contador/Miguel Ortiz. Page 4 of 20

Examen Final Práctico CCNA Cybersecurity Operations

En el seguimiento TCP Stream cambiamos la forma en la cual se ven los datos como RAW y
guardamos en el escritorio con un nombre descriptivo (Evidencia):

Extracción de HASHES. (cambiar)

© FRAD Nicolás Contador/Miguel Ortiz. Page 5 of 20

Examen Final Práctico CCNA Cybersecurity Operations

d. Obtenga el contenido del archivo, éste debe ser legible e indique cómo lo hizo y qué contiene, agregue
evidencias del resultado final. 10 pts
Obtención de la contraseña con John.
Pasar el pdf Evidencia a un hash que pueda entender john.

Usamos el comando John en el archivo hash que generamos anteriormente y podremos ver la
contraseña en texto legible.

© FRAD Nicolás Contador/Miguel Ortiz. Page 6 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Contenido dentro del archivo.

e. Agregue los IoC (IP, hashes) del evento de seguridad anterior. 5 pts?
Obtención de IoC con virus total.
Obtenemos datos relevantes si subimos le archivo Evidencia a la página web Virus Total:

© FRAD Nicolás Contador/Miguel Ortiz. Page 7 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Al subir el archivo y dirigirnos a Details Podremos ver los IoC que se requieren:

© FRAD Nicolás Contador/Miguel Ortiz. Page 8 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 3: Reúne información usando técnicas de reconocimiento pasivo. Use

herramientas en línea para obtener información de Google.com. 20 pts
a. Los servidores DNS. 5 pts

(https://dnsdumpster.com/)
b. Algunos Subdominios. 5 pts

(https://www.netcraft.com)
c. Dirección IPv4 e IPv6. 5 pts

d. ¿Qué servidor web tiene? 5 pts

Google Web Server (GWS) es el nombre del servidor web que utiliza Google en sus infraestructuras y
servidores. (https://www.netcraft.com)

© FRAD Nicolás Contador/Miguel Ortiz. Page 9 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 4: Criptografía simétrica. 10 pts

a. Cree un archivo de texto y cífrelo con aes256cbc, usando función de derivación de clave basado en
contraseña. 5 pts

b. Descifre el archive.5 pts

© FRAD Nicolás Contador/Miguel Ortiz. Page 10 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 5: Criptografía asimétrica. 20 pts

a. Descargue un certificado digital, de cualquier sitio https y obtenga el módulo de él. 5 pts
Windows.

Kali.

b. Obtenga información de vigencia del certificado (no antes y no después de).5 pts
Windows

Kali

© FRAD Nicolás Contador/Miguel Ortiz. Page 11 of 20

Examen Final Práctico CCNA Cybersecurity Operations

c. Obtenga solo el serial del certificado. 5 pts

Windows

Kali

d. Obtenga información del subject del certificado. 5 pts

Windows

Kali

© FRAD Nicolás Contador/Miguel Ortiz. Page 12 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 6: Obtener archivo en captura y responder a las siguientes preguntas.

35 pts
a. Descargue el archivo de captura https://github.com/ncontador/hachcol y obtenga el archivo interesante
que viaja en un protocolo web. 10 pts
Descarga de archivo

Análisis de archivo con wireshark

Abrimos el archivo con la herramienta wireshark y usamos el filtro http para ver todas las peticiones
que viajan por el protocolo web y nos encontramos con un archivo Zip:

A la petición en particular le hacemos click>file>Export Objects>HTTP:

© FRAD Nicolás Contador/Miguel Ortiz. Page 13 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Luego de eso hacemos click en el archivo que se compartió, le damos en Save>Desktop y le ponemos
el nombre a nuestro gusto:

b. Intente obtener el contenido del archivo.10 pts

Extracción del hash del zip.

Extracción de la contraseña del hash.

© FRAD Nicolás Contador/Miguel Ortiz. Page 14 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Extracción del contenido.

c. Obtenga el hash md5 de los 2 que vienen contenidos en el archivo obtenido de la captura. 5 pts

d. Obtenga el hash sha1 de los 2 que vienen contenidos en el archivo obtenido de la captura. 5 pts

e. Indique qué fenómeno ocurrió con los hashes sha1 del archivo. 5 pts
SHA-1 (Secure Hash Algorithm) es una función de hash criptográfica que produce un valor de hash
de 160 bits y se considera débil, ya que google descubrió que se pueden clonar los hashes que se
producen en base a este algoritmo, siendo diferente contenido, pero el mismo hash; por eso en la
segunda imagen a pesar de que sean 2 pdf diferentes consiguen el mismo hash y esto es una
vulnerabilidad critica.

© FRAD Nicolás Contador/Miguel Ortiz. Page 15 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 7: Crack de hashes. Obtenga las password de cada uno de los hashes
indicados abajo. 20 pts
a. Obtenga la contraseña de este hash: d1e576b71ccef5978d221fadf4f0e289. 5 pts
Contraseña: superpassword

b. Obtenga la contraseña de este hash: 3fc0a7acf087f549ac2b266baf94b8b1.5 pts

Contraseña: qwerty123

c. Obtenga la contraseña de este hash: f53588ffe2dd5516a50ab2446e228c02145659c8 . 5 pts

Contraseña: qwaszxerdfcv

d. Obtenga la contraseña de este hash: a6670831844a2eb39618701dd66e52f4f01ccfdb. 5 pts

Contraseña: exito

Part 8: Captura de tráfico, obtención de información interesante y crack de

password. 20 pts
a. Descargue el siguiente archivo de captura y obtenga la información filtrada por un protocolo de
transferencia de archivos. https://github.com/ncontador/captura1.git. 10 pts
Descarga del archivo

Información filtrada
Descargamos el archivo que se encuentra dentro de la transferencia de datos ftp:

© FRAD Nicolás Contador/Miguel Ortiz. Page 16 of 20

Examen Final Práctico CCNA Cybersecurity Operations

b. Obtenga la contraseña de Juanito y Fabiola.10 pts

Obtención de contraseña con John.

Otra Forma de encontrar contraseña.

En el caso anterior John no pudo encontrar la contraseña de Fabiola con el diccionario por defecto, así
que hice uso de una página web llamada Crackstation.com:

(https://crackstation.net/)
Contraseñas requeridas.

Juanito: butterfly1
Fabiola: mipassword

© FRAD Nicolás Contador/Miguel Ortiz. Page 17 of 20

Examen Final Práctico CCNA Cybersecurity Operations

Part 9: Captura de tráfico, encontrar malware y obtener los IoC de él. 30 pts
a. Descargue el siguiente archivo de captura, busque y obtenga el malware que viaja por algún protocolo.
https://github.com/ncontador/captura-malware.git. 10 pts
Descarga del archivo

Obtención de archivo.

© FRAD Nicolás Contador/Miguel Ortiz. Page 18 of 20

Examen Final Práctico CCNA Cybersecurity Operations

b. Suba el malware a virustotal y obtenga los IoC.10 pts

c. Suba el malware a app.any.run y obtenga los IoC.10 pts

© FRAD Nicolás Contador/Miguel Ortiz. Page 19 of 20

Examen Final Práctico CCNA Cybersecurity Operations

© FRAD Nicolás Contador/Miguel Ortiz. Page 20 of 20