Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CyberOps Associate
Evaluación práctica
Introducción
Al trabajar como analista de seguridad de ACME Inc., realiza pruebas, recibe y visualiza una serie de eventos.
Su tarea es analizar estos eventos, aprender más sobre ellos y decidir si indican actividad maliciosa. Puede
investigar y usar Google para obtener más información sobre los eventos. Las siguientes tareas están
diseñadas para proporcionar alguna orientación a través del proceso de análisis. Practicará y evaluará las
siguientes habilidades:
o Uso de Wireshark para inspeccionar eventos.
o Uso de herramientas de análisis de información.
o Uso de herramientas de cracking de archivos protegidos por contraseña.
o Uso de herramientas de la línea de comandos, si no están, debe instalarlas.
Debe evidenciar todo con capturas de pantalla y el comando usado. 200 pts en total
b. Busque más información e indique qué versión tiene disponibles el servidor. 5 pts
El archivo fue descargado desde la ip 3.129.20.175 a través de un servicio FTP hacia el dispositivo
destino 10.0.2.86
b. ¿Cuáles fueron las credenciales usadas por el usuario para acceder al sitio y descargar el archivo? 5pts
c. Obtenga el archivo como evidencia. Indique nombre y extensión del archivo y cómo logró extraerlo de la
captura, además de los hashes MD5, SHA1, y SHA256. 5 pts
Nombre y extensión.
Buscamos la petición con mayor tamaño (length’s) y hacemos seguimiento TCP para extraer el archivo
En el seguimiento TCP Stream cambiamos la forma en la cual se ven los datos como RAW y
guardamos en el escritorio con un nombre descriptivo (Evidencia):
d. Obtenga el contenido del archivo, éste debe ser legible e indique cómo lo hizo y qué contiene, agregue
evidencias del resultado final. 10 pts
Obtención de la contraseña con John.
Pasar el pdf Evidencia a un hash que pueda entender john.
Usamos el comando John en el archivo hash que generamos anteriormente y podremos ver la
contraseña en texto legible.
e. Agregue los IoC (IP, hashes) del evento de seguridad anterior. 5 pts?
Obtención de IoC con virus total.
Obtenemos datos relevantes si subimos le archivo Evidencia a la página web Virus Total:
Al subir el archivo y dirigirnos a Details Podremos ver los IoC que se requieren:
(https://dnsdumpster.com/)
b. Algunos Subdominios. 5 pts
(https://www.netcraft.com)
c. Dirección IPv4 e IPv6. 5 pts
Google Web Server (GWS) es el nombre del servidor web que utiliza Google en sus infraestructuras y
servidores. (https://www.netcraft.com)
Kali.
b. Obtenga información de vigencia del certificado (no antes y no después de).5 pts
Windows
Kali
Kali
Kali
Luego de eso hacemos click en el archivo que se compartió, le damos en Save>Desktop y le ponemos
el nombre a nuestro gusto:
c. Obtenga el hash md5 de los 2 que vienen contenidos en el archivo obtenido de la captura. 5 pts
d. Obtenga el hash sha1 de los 2 que vienen contenidos en el archivo obtenido de la captura. 5 pts
e. Indique qué fenómeno ocurrió con los hashes sha1 del archivo. 5 pts
SHA-1 (Secure Hash Algorithm) es una función de hash criptográfica que produce un valor de hash
de 160 bits y se considera débil, ya que google descubrió que se pueden clonar los hashes que se
producen en base a este algoritmo, siendo diferente contenido, pero el mismo hash; por eso en la
segunda imagen a pesar de que sean 2 pdf diferentes consiguen el mismo hash y esto es una
vulnerabilidad critica.
Part 7: Crack de hashes. Obtenga las password de cada uno de los hashes
indicados abajo. 20 pts
a. Obtenga la contraseña de este hash: d1e576b71ccef5978d221fadf4f0e289. 5 pts
Contraseña: superpassword
Información filtrada
Descargamos el archivo que se encuentra dentro de la transferencia de datos ftp:
(https://crackstation.net/)
Contraseñas requeridas.
Juanito: butterfly1
Fabiola: mipassword
Part 9: Captura de tráfico, encontrar malware y obtener los IoC de él. 30 pts
a. Descargue el siguiente archivo de captura, busque y obtenga el malware que viaja por algún protocolo.
https://github.com/ncontador/captura-malware.git. 10 pts
Descarga del archivo
Obtención de archivo.