Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Hoja de Respuestas Analisisforense N

    Cargado por

    Anyu Guz
    134 vistas7 páginas
    Análisis forense

    Título original

    Hoja de Respuestas Analisisforense n

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Análisis forense

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    134 vistas7 páginas

    Hoja de Respuestas Analisisforense N

    Cargado por

    Anyu Guz
    Análisis forense

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Hoja de respuestas

    Módulo: Forense de intrusiones y adquisiciones

    Nombre y apellidos: Anyoul Guzmán

    ← Fecha entrega Enero

    Para la resolución del ejercicio se pide responder a las siguientes preguntas utilizando
    esta plantilla, teniendo en cuenta los siguientes puntos:
     Conteste a las preguntas en el orden establecido.
     Limítese a contestar a las preguntas planteadas mediante una respuesta directa, que
    posteriormente tiene que ser argumentada y desarrollada con detalle utilizando
    cuando proceda las evidencias facilitadas para el análisis (fichero que se puede
    descargar desde un enlace que hay al final de la unidad)
     Como orientación, el ejercicio debe tener una extensión entre 10 y 15 páginas.

    Pregunta 1 (0,5 puntos):


    En el caso de la sede de Australia, ¿qué tipo de amenaza ha impactado?
    Respuesta: Es un ataque de tipo “Phishing” ya que los empleados indicaron haber recibido una
    campaña de correos sospechosos, adicionalmente se detectó una fuga de información sensible de
    los empleados. El Phishing es una técnica de ingeniería social, que usan los ciberdelincuentes para
    obtener información confidencial de los usuarios, de forma fraudulenta; los correos electrónicos
    falsos, contienen información falsa y enlaces que redirigen las respuestas hacia páginas de internet
    falsas, con formularios y preguntas para obtener datos personales.

    Pregunta 2 (1,5 puntos):


    En el caso de la sede de Australia, ¿qué direcciones de correo de usuario se han visto afectadas?
    Nota: utilice la herramienta Wireshark (o similar) para analizar el fichero .pcap facilitado en las
    evidencias y contestar la respuesta. Detalle los pasos a realizar.
    Respuesta: En la la herramienta Wirechsrk utilizamos el comando (frame contains "microsoft"), con el
    objetivo de buscar el tráfico de correos electrónicos, posteriormente ubicamos la petición GET.
    Se identifica la petición GET y realizamos la decodificación en base64, donde evidenciamos que la dirección
    afectada es mgarcia@invent.com contraseña: manzana123

    Adicionalmente ingresamos a la pagina pastebin.com, y observamos 3 usuarios más, con sus respectivas
    contraseñas.
    Pregunta 3 (2 puntos):
    En el caso de la sede de Australia, imagínese que tiene que analizar el fichero .pcap facilitado en
    las evidencias en un entorno linux/windows por línea de comando sin entorno gráfico.
    Realice un script para parsear el fichero .pcap, de forma que se muestre el resultado final (los
    correos electrónicos afectados ) por línea de comando.

    Notas: conviene utilizar para el script el lenguaje Python (se recomienda utilizar la librería
    Scapy). Alternativamente, se permite utilizar alguna utilidad o ejecutable parametrizable por
    línea de comando, parseando la salida hasta obtener los correos.
    El único parámetro de entrada del script debe ser el nombre del fichero .pcap
    Facilite el script en la misma hoja de respuesta mediante texto que se pueda copiar y pegar (no
    como imagen).
    Respuesta:
    Elaboramos el script con la herramienta de Python “Visual Estudio Code” en los comentarios de color
    verde se puede ver la explicación paso a paso del script.
    Al ejecutar el script como resultado obtenemos los correos y la web expuesta.

    Pregunta 4 (1 punto):
    En el caso de la sede de Italia, para enviar las evidencias al proveedor externo se va a
    realizar una captura de información y clonado del servidor comprometido.
    ¿Qué parte hardware del servidor se debería clonar antes de apagar el equipo?
    Respuesta: Se debe clonar primero la memoria RAM, ya que es un dispositivo volátil. La memoria
    RAM está compuesta por transistores que funcionan con electricidad, una vez se apaga el
    equipo todo lo almacenado en la memoria desaparece. Dentro de la memoria RAM se puede
    analizar:

     Procesos en ejecución de los programas


     Procesos en fase de finalización
     Conexiones activas.
     Datos de texto
     Contraseñas
     Elementos ocultos
     Direcciones web
     Correos electrónicos

    Pregunta 5 (1 punto):
    En el caso de la sede de Italia, ¿qué comando utilizaría para realizar el clonado del disco?
    Respuesta: Se utiliza el comando dd if=/ (Se indica el disco origen) of=/ (Se indica el disco de
    destino) Ej: dd if=/dev/sda of=/dev/sdb, donde sda es el disco de origen y sdb es el de destino.

    Pregunta 6 (1 punto):
    En el caso de la sede de Italia, ¿qué y cómo habría que calcular después del clonado del
    disco para verificar la integridad del mismo?
    Respuesta: Para verificar que dicha copia es igual a la original, calculamos el valor hash del disco
    original y la copia, este valor lo podemos calcular con el comando md5sum. Por eje.

    #md5sum /dev/sda; acá comprobamos el valor hash del disco original


    #md5sum /dev/sdb; acá comprobamos el valor hash de la copia.

    Una vez ejecutados el valor hash calculado en cada disco debe ser igual.

    Pregunta 7 (0,5 puntos):


    En el caso de la sede de España, ¿qué tipo de amenaza ha impactado?
    Respuesta: Teniendo en cuenta que todos los archivos cifrados con extensión .NM4, se trata de
    un software malicioso de tipo ransomware.
    Pregunta 8 (0,5 puntos):
    En el caso de la sede de España, ¿cómo funciona este tipo de amenaza?

    Respuesta: Este virus se introduce silenciosamente en los sistemas y encripta varios datos a
    través de los algoritmos criptográficos AES y RSA. Durante el cifrado, este malware añade la
    extensión .NM4 a los nombres de los archivos encriptados. Posteriormente crea un archivo
    HTML y lo coloca en todas las carpetas que tengan archivos encriptados, el archivo HTML
    contiene un mensaje que informa a las víctimas del cifrado e informa que deben comprar una
    herramienta de desencriptación con una clave única de descifrado. Los atacantes propagan
    software malicioso a traves de asistentes engañosos de software, troyanos, fuentes de descarga
    de terceros (sitios web de alojamiento de archivos gratuitos, sitios web de descarga gratuita,
    torrents, etc.) y correo basura (adjuntos infecciosos). Por esta razón es importante disponer de
    herramientas como antivirus o antiespía fiable.

    Pregunta 9 (1 punto):
    En el caso de la sede de España, ¿cuál ha sido el vector de entrada más probable
    utilizado?
    Nota: analice los protocolos de la evidencia “spain.jpg” facilitada
    Teniendo en cuenta que se encuentra aplicado el parche de seguridad MS17-010, que corrige una
    falla de seguridad en el protocolo de compartición de archivos SMB (Server Message Block)
    utilizado en sistemas Windows, el cual permite al atacante el envío de paquetes maliciosos, debido
    a esto, podemos descartar los puertos 135, 445, 5357 y139, los cuales permiten al atacante
    ejecutar código malicioso. Dicho lo anterior y teniendo en cuenta el tipo de ransomware, el ataque
    pudo ser por el puerto 3389 ya que se utiliza comúnmente para el servicio de Escritorio Remoto
    (RDP) en los sistemas operativos de Microsoft Windows. Este servicio permite a un usuario
    conectarse de forma remota a un sistema Windows y controlarlo como si estuviera físicamente
    presente en él, permitiendo Ataques de fuerza bruta, debido a que el acceso al servicio de RDP se
    realiza mediante un nombre de usuario y una contraseña, los atacantes pueden utilizar técnicas de
    fuerza bruta para probar diferentes combinaciones de nombres de usuario y contraseñas, para
    tomar control de los equipos.

    Pregunta 10 (1 punto):
    En el caso de la sede de España, indique 3-5 medidas imprescindibles que hubiesen
    evitado el ataque.
    Respuesta:

    1. Capacitar a los usuarios para que detecten correos maliciosos: Los usuarios pueden
    identificar las ciberamenzas, si son capacitados debidamente para reconocer los correos
    maliciosos que contengan archivos sospechosos, phishing o ingeniería social.
    2. Mantener aplicaciones y antimalware actualizadas: Asegurarse que todas las
    aplicaciones de antivirus y software tienen instalada la versión mas reciente. Las
    versiones actualizadas de ransomware salen de forma regular y las actualizaciones de
    software aseguran su anti – malware para identificar nuevas amenazas.
    3. Deshabilitar RDP: si no necesitas utilizar el servicio de Escritorio Remoto, deshabilítalo
    completamente para evitar cualquier riesgo potencial.
    4. Filtrado de contenido: Se puede disponer de un sistema automático, que permita
    procesar grandes cantidades de datos para controlar el contenido que se puede mostrar
    y restringir el acceso a sitios sospechosos.
    5. Multi factor de autenticación: Es un método de control de acceso informático en el que a
    un usuario se le concede acceso al sistema solo después de que presente dos o más
    pruebas diferentes de que es quien dice ser

    También podría gustarte