Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBERSEGURIDAD
Especialidad Análisis de Incidentes y
Forense
Taller 3
Unidad 4. Análisis de incidentes
Unidad 4
Taller13
Contenidos
2 EJERCICIO PRÁCTICO 1 38
3 EJERCICIO PRÁCTICO 2 52
4 EJERCICIO PRÁCTICO 3 62
5 EJERCICIO PRÁCTICO 4 97
Unidad 2
Actividad 1
Contenidos
Unidad 2
Actividad 1
ANÁLISIS DE CORREO1
ELECTRÓNICO PHISHING
Unidad 2
4
Actividad 1
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Para analizar el correo electrónico de phishing dispondrás de los enlaces en las distintas prácticas. No obstante,
también encontrarás entre los recursos descargables de la unidad lo archivos de la práctica que contienen los correos
electrónicos de phishing. Esta práctica se realizará en la máquina virtual de Kali Linux.
Por ello, es conveniente que los descargues directamente a la máquina virtual, ya que si los descargas a tu ordenador
personal, el antivirus podría detectarlos y eliminarlos.
Unidad 4
5
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Para realizar el análisis de phishing utilizarás la herramienta de análisis de malware Cuckoo sandbox. Cuckoo es
una sandbox para el análisis tanto estático como dinámico de ficheros. Nos permitirá realizar el análisis de
diferentes tipos de ficheros como ejecutables, librerías, mails, etc. El programa nos proporcionara un informe
detallado del comportamiento del fichero sospechoso para ayudarnos a determinar si es malicioso o no.
• En primer lugar, accederemos a la página web de cuckoo a través del siguiente enlace: https://cuckoo.cert[.]ee/
Unidad 4
6
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
7
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Tras esto nos saldrá el siguiente menú en el que podremos modificar las variables del análisis como el tiempo que
se pasa analizando el fichero o si las comunicaciones las hace a través de Tor o Internet, entre otros. En nuestro
caso no es necesario modificar ninguna variable, por lo que seleccionaremos el fichero y pulsaremos en el botón
«analyze»:
Unidad 4
8
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Una vez acabe el análisis debes acceder al enlace que se nos presente, va a abrir el correo electrónico en la
herramienta Cuckoo. En el lateral izquierdo encuentras diversas opciones como puedes observar en la siguiente
captura de pantalla:
Unidad 4
9
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Dropped Files: se mostrarían los ficheros asociados al correo electrónico. Pero en nuestro caso no había
ningún fichero asociado, por lo que no es relevante en este caso.
Unidad 4
10
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Dropped Buffers: se mostrarían los buffers que han utilizado. Pero en nuestro caso no aparecerá ninguna
información puesto que no han utilizado.
Process Memory: se muestran los procesos de memoria, pero al tratarse de un correo electrónico no se utiliza
ningún proceso de memoria.
El resto de las opciones son para la exportación o comparación de diferentes análisis. Opciones que no interesan en
este caso.
Unidad 4
11
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Tras conocer las diferentes opciones que proporciona la herramienta debes seleccionar la opción «Static Analysis»,
dentro de la cual escoge la opción «Strings» con el objetivo de poder observar todas las strings o cadenas de
caracteres que están en el correo electrónico y comenzar el análisis de su contenido.
Unidad 4
12
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Ahora, podrás observar todo el contenido en formato HTML del correo electrónico. Para comenzar con el análisis
propiamente dicho lo primero es buscar al receptor del correo electrónico. Para ello, utiliza el buscador del
navegador; una forma rápido de abrirlo es con la combinación de teclas «CTRL + F». Para buscar el receptor del
correo entre todas las strings, escribe la palabra «to» (sin las comillas). Busca entre los resultados hasta encontrar
una cadena de correo electrónico; ésta será la dirección del receptor, como puede verse en la siguiente captura de
pantalla:
• Nos fijamos en el receptor del correo electrónico para conocer si puede aportar información acerca del caso. En una
situación en la que se reporta un correo electrónico de phishing es importante conocer el receptor porque podríamos
observar si ha recibido, por ejemplo, más correos electrónicos similares a este, en casos en los que se considere
aplicable.
• Lo siguiente que debes buscar es el emisor del correo electrónico. Para ello, al igual que en el paso anterior, utiliza
el buscador del navegador con la combinación de teclas «CTRL + F» y como término de búsqueda pon la palabra
«from» (sin las comillas).
Unidad 4
14
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
15
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Conocer el emisor permite saber el origen del correo electrónico. Para el análisis también resulta importante
investigar el dominio del correo electrónico para obtener más información del emisor. Para ello, copia el dominio del
correo electrónico del emisor, que en este ejemplo es «siol[.]net», y utiliza la herramienta de VirusTotal con el
objetivo de obtener información de este dominio tal y como se muestra en la siguiente captura de pantalla:
Unidad 4
16
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
17
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Como se ha visto, aparecen dos IP asociadas, por lo tanto, se realiza la búsqueda oportuna de la misma utilizando
VirusTotal.
Unidad 4
18
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Puedes observar que ambas IP tampoco tienen ninguna detección maliciosa y, además, informa de que está
asociadas a un proveedor de centro de datos o data center y se encuentran geolocalizadas en Croacia.
Unidad 4
19
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• También, se puede realizar una búsqueda de las IP con la herramienta online Scamalytics que proporciona el nivel
de riesgo de fraude que tiene asociado una IP.
Unidad 4
20
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
21
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Como muestra esta herramienta, las IP tienen asociado un riesgo muy bajo, de puntación 0, de fraude.
• Una vez conoces información acerca del emisor del correo electrónico, lo siguiente es buscar el return path, El return
path contendrá una dirección que indica el origen de un email y que se utiliza para procesar los rebotes de los
correos enviados desde el origen, es utilizado mayormente por servicios de marketing para registrar los correos que
han llegado a sus destinatarios. Para esto, como en pasos anteriores, utilizamos la combinación de teclas «CTRL +
F» y buscamos «return path»
Unidad 4
22
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
23
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• En el ejemplo, vemos que no hay return path. En caso de que hubiera y la dirección de correo del return path no
coincidiera con la del emisor del correo significaría que el correo electrónico no se devuelve al email del emisor
(correo electrónico del campo from) sino a un tercero (correo electrónico del campo return path). Si el return path
fuese una dirección diferente, convendría volver a investigar el nuevo dominio para ver si es potencialmente
malicioso.
Sin embargo, si ambas direcciones coinciden, el emisor y la dirección de procedencia del email SMTP es el mismo y
al haber analizado ya el dominio del correo del emisor no habría que repetirlo.
Unidad 4
24
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Por otro lado, un paso interesante sería buscar el dominio en posibles listas negras. Para ello, vamos a utilizar la
herramienta online Mxtoolbox. Mientras que Scamalytics nos dará una idea de lo fiable que es una IP, Mxtoolbox
nos indicará en cuantas listas negras se encuentra el dominio de la dirección de correo electrónico.
Unidad 4
25
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
26
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• El análisis de contenido del correo electrónico puede ayudarnos a determinar a primera vista si el correo es
malicioso o no. Comparando si las URL que contiene el correo electrónico concuerdan con el asunto del mismo
puede indicarnos si se trata de un correo electrónico malicioso. En este caso el asunto trata sobre que el buzón de
correo electrónico del receptor, pudiendo indicar algún error con este. Una vez conocido el destinatario; el emisor,
junto con su return-path; y el asunto del correo electrónico, el siguiente paso es el análisis en sí del contenido del
correo electrónico, es decir, del cuerpo del mensaje. Para ello, en primer lugar, busca posibles URL que se
encuentren en el mensaje. Esto lo puedes realizar usando la combinación de teclas «CTRL + F» y buscando por
«http».
Unidad 4
27
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
28
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Como puede observarse solo aparece una URL. Vamos a analizar la URL y, para ello, utilizaremos diversas
herramientas.
• En primer lugar, utilizaremos VirusTotal, de la forma indicada en la siguiente imagen:
Unidad 4
29
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
30
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• También es detectado como malicioso o phishing, pero en este caso únicamente por 5 analizadores. Explorando la
pestaña «Details» puedes ver asociada 1 IP.
Unidad 4
31
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
32
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
33
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Con este análisis puedes observar la verdadera URL a la que lleva la que se incluía en el correo electrónico y que
está relacionada con Unifed Layer, información que ya se había obtenido del análisis anterior con VirusTotal. Pero
esta herramienta proporciona una captura de pantalla de la página que, en este caso, se puede observar que ya no
existe.
• Para comprobar la página web a la que lleva una URL también se puede utilizar la herramienta Browserling, se trata
de un simulador de navegador online. Para utilizar esta herramienta solo hay que introducir la URL que se pretenda
buscar y esperar. Permite seleccionar tanto el sistema operativo como el navegador por si alguno de estos genera
algún problema.
Unidad 4
34
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
35
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Unidad 4
36
Taller 3
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
• Para finalizar con este análisis hay que señalar las medidas que conviene tomar ante este caso de phishing. Los
IOCs (Indicadores de Compromiso) que deberías bloquear del caso serán:
Podrías bloquear el correo electrónico del emisor, sender, si tuvieras la certeza de que es malicioso, pero la
acción ideal que deberías tomar es el bloqueo del dominio del correo para no recibir más correos electrónicos
desde esa dirección. Sin embargo, en este caso no tenemos la certeza de que el dominio «siol[.]net» sea
malicioso a pesar de saber que se trata de un caso positivo de phishing.
Dado que la página web a la que dirigía la URL presente en el correo esta caída no merecería la pena
bloquearla, aunque deberíamos tener en cuenta que podría ser levantada de nuevo para realizar nuevos
ataques. Pero en este caso la mejor opción sería bloquear el dominio principal de la URL «wed-etudes[.]com»
el cual no tiene buena reputación, como puedes comprobar si haces una última búsqueda.
Unidad 4
37
Taller 3
2
EJERCICIO PRÁCTICO 1
Unidad 2
38
Actividad 1
2 EJERCICIO PRÁCTICO 1
2.1 Enunciado ejercicio práctico 1
Entre los recursos descargables de la unidad encontrarás el archivo «ejercicio_1.zip» que podrás utilizar en caso de
que el enlace facilitado en este ejercicio no esté disponible.
Unidad 4
39
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Observa las cabeceras del correo electrónico, como el Subject, el From, el To, el Cc o el Return-path, en este último
será en el que te tengas que fijar dado que puede indicar cuál es el objetivo con el que se ha mandado el correo
electrónico en primer lugar dado que el return path será la dirección a la que se mandará el correo electrónico de
rebote, es decir cada vez que un usuario reciba uno de estos correos se notificará a la dirección de correo del return
path. Esto es habitualmente utilizado por empresas de envío masivo de correo electrónico para poder llevar un
registro de los correos electrónicos mandados y para almacenar todas las respuestas a estos correos electrónicos.
• Lo primero que haremos será dirigirnos al apartado de «Static Analysis», y dentro al apartado «strings» podrás ver el
correo electrónico en formato HTML.
Unidad 4
40
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Lo primero es revisar si coinciden las cabeceras Return-path y From en busca de un intento de suplantación de
identidad:
Unidad 4
41
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
42
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
43
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
44
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Observa que a simple vista no tiene detecciones en ninguna de las dos búsquedas realizadas, tanto utilizando la
herramienta MxToolBox para buscar si la cuenta de correo se encuentra en alguna lista negra como realizando una
búsqueda del dominio del correo en Virustotal. Ahora dirígete a la sección de «Details» en VirusTotal y verás que
tiene 3 IP asociadas con este dominio (para balanceo de carga). Las tres son de la empresa de hosting Wix.com,
Ltd., la cual es una empresa de hosting gratuito lo que podría indicar que la dirección de correo electrónico ha sido
creada expresamente para una campaña de phishing (dado que se utilizan cuentas de «usar y tirar»). Ninguna de
las IP tiene detecciones.
Unidad 4
45
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
46
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
47
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
• Copia la URL e investígala en VirusTotal, así como en Browserling, el cual es un simulador de navegador web.
En VirusTotal no encontrarás ninguna detección.
• Al insertar la URL en Browserling, puedes ver que la URL redirige a otra URL que es la realmente sospechosa. En
esta URL encuentras un enlace a un supuesto documento. Al entrar en dicho enlace puedes ver que la página está
caída. Esto es muy típico en casos de phishing, que lanzan correos electrónicos masivos para redirigir a URL con
descargas de malware, y cuando pasa un tiempo descartan la URL para evitar ser detectados.
Unidad 4
48
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
49
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
50
Taller 3
2 EJERCICIO PRÁCTICO 1
2.2 Solución ejercicio práctico 1
Unidad 4
51
Taller 3
3
EJERCICIO PRÁCTICO 2
Unidad 2
52
Actividad 1
3 EJERCICIO PRÁCTICO 2
3.1 Enunciado ejercicio práctico 2
Entre los recursos descargables de la unidad encontrarás el archivo «ejercicio_2.zip» que podrás utilizar en caso de
que el enlace facilitado en este ejercicio no esté disponible.
Unidad 4
53
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
Unidad 4
54
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
• Después de leer el correo electrónico, parece que están intentando vender una aplicación software para integración
de software embebido, y adjuntan varios enlaces.
• Debido a que se trata de un fichero «.msg» en vez de un «.eml», su código fuente no muestra código HTML, sino
código en JavaScript. Es necesario tener en cuenta esto puesto que la referencia a los enlaces es diferente según
se utilice uno u otro. En HTML la referencia a los enlaces se pone con «<a href» por lo que para buscar las URLs
será necesario utilizar la cadena «href». Sin embargo, si se utiliza JavaScript la referencia a los enlaces se pone con
la etiqueta «url» y no se utiliza «href», por tanto, para buscar las URLs en este caso será necesario utilizar la cadena
«url» en lugar de «href».
Unidad 4
55
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
• Por ello, busca en el código fuente del correo electrónico «url» para encontrar todas las URL presentes en el correo.
Ves que hay muchas URL, pero muchas de ellas se repiten, y otras son simplemente imágenes (lo puedes ver
porque terminan en un archivo de tipo imagen como «.png» o «.jpeg»).
Unidad 4
56
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
Unidad 4
58
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
Unidad 4
59
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
• Las imágenes anteriores son el resultado de buscar las 4 URL presentes en el correo en la herramienta urlscan.io.
Esta herramienta de escaneo de páginas webs, proporciona, entre otras cosas, una screenshot del sitio web al que
resuelve la URL buscada. A parte de eso, si nos fijamos en el resumen del escaneo, podremos observar que el
dominio de todas las URL está relacionado. En este caso se trata de diferentes páginas legítimas «umi innovation»
donde se promociona UMI, una herramienta de prueba de mercado. Esta página guarda relación con el dominio del
sender y del return path lo que podría ayudar a confirmar la legitimidad del correo.
• Tras comprobar estas URL debes comprobar el dominio de correo electrónico en Virustotal, verás que no tiene
detecciones; y en Scamalytics donde se recategoriza a la empresa propietaria como sospechosa de fraude.
También debes comprobar si se encuentra en alguna blacklist, pero ninguna está en blacklists.
Unidad 4
60
Taller 3
3 EJERCICIO PRÁCTICO 2
3.2 Solución ejercicio práctico 2
• Encontrarás que las URL están alojadas en servidores de Fastly, una CDN, una red de distribución de contenido
estático en diferentes servidores a lo largo de un territorio, muy importante que sirve a grandes empresas como
Amazon, pero que en Scamalytics tiene una detección de fraude muy elevada. Lo que significa esto es que Fastly
es una empresa muy importante y de enormes dimensiones que trabaja con grandes empresas, pero que trabaja
también con otros clientes y es probable que alguno realice tráfico fraudulento.
• Por tanto, dado el contenido del correo electrónico y después del análisis realizado puedes concluir que se trata de
un correo electrónico de spam y no se bloquea nada dado que el objetivo del emisor no es malicioso. Sin embargo,
se informa al usuario que ha recibido el correo que lo elimine de su bandeja de entrada y en caso de recibir muchos
correos electrónicos de spam por parte del mismo remitente aconsejarle bloquear la dirección de correo en su
buzón.
Unidad 4
61
Taller 3
4
EJERCICIO PRÁCTICO 3
Unidad 2
62
Actividad 1
4 EJERCICIO PRÁCTICO 3
4.1 Enunciado ejercicio práctico 3
Entre los recursos descargables de la unidad encontrarás el archivo «ejercicio_3.zip» que podrás utilizar en caso de
que el enlace facilitado en este ejercicio no esté disponible.
Unidad 4
63
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
64
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
65
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
66
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Como puede observarse no tiene ninguna detección maliciosa y lleva asociada una IP.
• También resulta interesante buscar el dominio en posibles listas negras.
Unidad 4
67
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
68
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
69
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Esta última herramienta, además de la información ya obtenida, relaciona la IP con un riesgo nulo de fraude.
• Realiza una búsqueda de esta IP en posibles listas negras.
Unidad 4
70
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Busca el return-path.
Unidad 4
71
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
72
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
73
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Tras realizar una búsqueda del dominio en VirusTotal no se obtiene ninguna detección maliciosa. Sin embargo,
observando los comentarios de la comunidad en esta misma herramienta se hace referencia a casos de phishing o
como link malicioso.
• Además, se observan 4 IP relacionadas, las cuales se buscan en VirusTotal y en posibles listas negras.
Unidad 4
74
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
75
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
76
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
77
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
78
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
79
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Como puede observarse de las tres IP todas tienen al menos una detección maliciosa y se encuentran listadas en
una lista negra.
Unidad 4
80
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
81
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
82
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Tal y como se observa anteriormente el dominio se encuentra en la misma lista negra que las IP que están
relacionadas con él.
• Analiza el asunto del correo electrónico.
• El asunto del correo electrónico puede aportar información del contenido del propio correo. Es decir, te puedes fijar
si el asunto del correo no está relacionado con el contenido del mismo, en cuyo caso podría ser un indicativo de
phishing. En este caso el asunto es «Your password have expired» que aporta mucha información sobre el
contenido del correo electrónico, haciendo referencia a que la contraseña del usuario ha caducado.
• Búsqueda de posibles URL.
Unidad 4
84
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
85
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
86
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• En primer lugar, analiza una en VirusTotal, y como se observa en la captura anterior tiene 4 detecciones
maliciosas, entre ellas 3 categorizadas como phishing.
• Posteriormente, analiza el dominio asociado «u25930214.ct.sendgrid[.]net» con la misma herramienta.
• Tal y como muestra la captura anterior, el dominio es detectado como malicioso por 4 analizadores, la mayoría de
los cuales lo categorizan como phishing.
Unidad 4
88
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• También es posible observar que el dominio se encuentra asociado a 4 IP que se analizan por separado con la
misma herramienta.
Unidad 4
89
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
90
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
91
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
92
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Ninguna tiene detecciones maliciosas y todas se encuentran asociadas a SENDGRID. Además, en algunas de ellas
los comentarios de la comunidad las asocian a casos de phishing.
• Siguiendo con el análisis de la URL incluida en el correo electrónico se utiliza URLcan.io.
Unidad 4
93
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• Esta herramienta permite asegurar que la URL está asociada SENDGRIP. Además URLcan.io permite ver una
captura de pantalla de la página a la que dirige esta URL y se puede observar que el link ya está inutilizado. Esto es
algo común en casos de phishing puesto que son casos que se intentan de forma masiva y si consideran que
bastantes personas han sospechado de su veracidad y lo han reportado eliminan la página.
• Para comprobar la redirección de la URL se utiliza browserling e igualmente se observa que la página ya no existe.
Unidad 4
94
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
Unidad 4
95
Taller 3
4 EJERCICIO PRÁCTICO 3
4.2 Solución ejercicio práctico 3
• El resto de las URL tienen las mismas detecciones maliciosas y al tener el mismo dominio están relacionadas con
las mismas IP analizadas.
• Con toda la información recopilada es posible determinar que se trata de un caso de phishing. En el correo
electrónico se informa de la caducidad de una contraseña y se le pedirá al usuario sus credenciales para restaurarla.
• Finalmente, las medidas que se toman ante casos de phishing son:
Bloquear el dominio «101logix[.]com» para no recibir más correos electrónicos desde esta dirección.
Bloquear el dominio de la URL puesto que está relacionada con múltiples detecciones maliciosas.
Unidad 4
96
Taller 3
5
EJERCICIO PRÁCTICO 4
Unidad 2
97
Actividad 1
5 EJERCICIO PRÁCTICO 4
5.1 Enunciado ejercicio práctico 4
Entre los recursos descargables de la unidad encontrarás el archivo «ejercicio_4.7z» que podrás utilizar en caso de que
el enlace facilitado en este ejercicio no esté disponible.
Unidad 4
98
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
99
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
101
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
102
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
103
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• El asunto del correo electrónico es «Mail Quarantine Report» que aporta mucha información sobre el contenido del
correo electrónico, haciendo referencia al reporte de un correo electrónico que se encuentra en cuarentena.
• Continuamos con la búsqueda de posibles URL.
Unidad 4
104
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• Analiza la URL.
Unidad 4
105
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• En primer lugar, analízala en VirusTotal y, como se observa en la captura anterior, tiene 4 detecciones maliciosas,
entre ellas 3 categorizadas como phishing.
• Posteriormente analiza el dominio asociado «goofy-cori-292101.netlify[.]app» con la misma herramienta.
Unidad 4
106
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• Tal y como muestra la captura anterior el dominio es detectado como malicioso por 2 analizadores, uno de los cuales
lo categoriza como phishing.
Unidad 4
107
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• También es posible observar que el dominio se encuentra asociado a 2 IP que se analizan por separado con la
misma herramienta.
Unidad 4
108
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
109
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
110
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
111
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• Esta herramienta permite asegurar que la URL está asociada con el ISP de EEUU «DIGITALOCEAN-ASN».
Además URLcan.io permite ver una captura de pantalla de la página a la que dirige esta URL y se puede observar
el logotipo de Webmail y la solicitud de las credenciales para acceder al correo electrónico. Webmail es un sistema
de acceso al correo electrónico que permite acceder al e-mail desde cualquier navegador sin necesidad de
configurar las cuentas en un programa de correo electrónico como Outlook o similar.
• Para comprobar la redirección de la URL se utiliza browserling e igualmente se observa el logotipo de Webmail y
la solicitud de credenciales. Además, si intentamos acceder al chat en vivo de ayuda redirige a una página que no
existe.
Unidad 4
112
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
113
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
Unidad 4
114
Taller 3
5 EJERCICIO PRÁCTICO 4
5.2 Solución ejercicio práctico 4
• Con toda la información recopilada es posible determinar que se trata de un caso de phishing. En el cuerpo del
correo electrónico se informa del reporte de una serie de emails que se encuentran en cuarentena y para su lectura
se solicitan las credenciales del usuario simulando el logotipo de Webmail.
• Finalmente, las medidas que se toman ante casos de phishing son:
Bloquear el dominio «himlizzzkil.co[.]uk» para no recibir más correos electrónicos desde esta dirección.
Bloquear el dominio de la URL puesto que está relacionada con múltiples detecciones maliciosas.
Unidad 4
115
Taller 3
6
EJERCICIO PRÁCTICO 5
Unidad 2
116
Actividad 1
6 EJERCICIO PRÁCTICO 5
6.1 Enunciado ejercicio práctico 5
Para la realización de este ejercicio práctico utilizaremos el archivo «Ejercicio_1.log» que ya te has
descargado previamente en el taller 2 de esta unidad.
• Analiza el log correspondiente al ejercicio 1 de Análisis de phishing y determina qué IP se pueden
observar que está generando tráfico. Indica si estas IP pueden ser maliciosas y si el tráfico que
han generado es de origen malicioso.
• En el caso de que lo sean, indica por qué el tráfico es malicioso (tipo de ataque o peticiones
sospechosas) e indica si se debiera bloquear la IP o no.
Unidad 4
117
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Podrás observar que no funciona la opción por defecto de GoAccess y que los mensajes de error están asociados
con el especificador «%h». Para poder abrir el archivo sin problemas y ver su información lo más cómodo es que
recurras al script que creaste en el apartado descarga y análisis de logs del taller 2 y lo modifiques, cambiando el
archivo que queremos que se ejecute.
Unidad 4
120
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Ahora que hemos abierto el log con GoAccess procederemos a realizar el análisis. Lo primero que tendremos que
hacer será fijarnos en las IP que han generado tráfico en el fichero que estamos analizando.
Unidad 4
121
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Estas son las IP que han hecho peticiones al servidor. Las analizaremos con VirusTotal para ver si pertenecen a un
ISP, un proveedor de hosting o son IP que pertenecen a alguna empresa privada.
Unidad 4
123
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Respecto a la IP 192.168.4[.]163 cómo puedes observar se trata de una IP privada, es fácil de identificar ya que
todas las IP que empiezan por 192[.]168 son privadas. Al estar recibiendo peticiones de esta IP privada significa que
se encuentra en la misma subred que la IP en la que se encuentra nuestro sitio web. Por lo tanto, podrás descartar
que esta IP sea maliciosa.
Sin embargo, hay que tener en cuenta el número de peticiones realizadas por esta IP privada puesto que podría
indicar que el equipo asociado a esa IP se encuentra comprometido. En estos casos habría que realizar un análisis
más en profundidad para descartar actividad maliciosa proveniente desde esa IP.
Unidad 4
124
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
Unidad 4
125
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Estas peticiones, al menos inicialmente, no parecen maliciosas. En primera instancia tendremos que fijarnos en qué
tipo de peticiones se están realizando: si son de tipo «Get» esto indica que se está realizando una petición para ver
una página, si son de tipo «Post» se estará modificando una página y si es de tipo «Put» se estará añadiendo una
nueva lo cual podría tener más posibilidades de tratarse de actividad maliciosa.
• A simple vista esta actividad que puedes observar no parece ser maliciosa, aunque se pueden observar que hay
muchas peticiones a la base de datos, entre ellas podemos destacar bastantes peticiones post a lo que parece ser la
sección de usuarios de la base de datos. Una petición post se trata de una petición para modificar un recurso dentro
del sitio web.
Unidad 4
126
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Las peticiones de modificación pueden indicar actividad maliciosa o no, todo depende del tipo de servidor que se
tenga implementado y del tipo de peticiones que se esperan recibir en este.
Unidad 4
127
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Utilizando el comando cat Ejercicio_1.log podrás ver el contenido del archivo de log. Visualizando el archivo podrás
observar que la gran mayoría de peticiones a la base de datos son realizadas por la IP perteneciente al ISP, lo cual
podría indicarnos que se han realizado peticiones maliciosas desde esa IP.
Unidad 4
128
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Tras fijarnos en esto deberemos observar las peticiones fallidas que se han realizado, para ello accedemos al
apartado «4 – URLs no encontradas (404)», esto dará información acerca de si se han realizado peticiones
maliciosas y si el servidor las ha denegado. Las peticiones maliciosas más habituales son aquellas que apuntan a
recursos genéricos o comunes, como puede ser:
index.php (que es el índice de un servidor web)
wlwmanifest.xml (es un directorio de WordPress
para el soporte de Windows Live Write),
recursos.env (un archivo. env es un fichero que
permite modificar las variables de entorno) Ilustración 99: Peticiones fallidas.
Entre otros, y que buscan acceder a estos con rutas
diferentes, pero similares.
Unidad 4
129
Taller 3
6 EJERCICIO PRÁCTICO 5
6.2 Solución ejercicio práctico 5
• Puedes observar que de nuevo las peticiones son muy similares a las anteriormente vistas que realiza la IP,
37.250.55[.]88.
Por lo tanto, concluimos que las peticiones que realiza la IP 37.250.55[.]88 son maliciosas, pero al tratarse de un IP que
pertenece a un ISP, la cual no tiene detecciones, tenemos que valorar si debemos bloquearla o no, esto dependerá de
la política de seguridad de nuestra organización. También cabe destacar que las peticiones que se realizan a la base de
datos no son rechazadas, lo cual nos indica que la base de datos de la aplicación web no está bien configurada. Por
nuestra parte no bloquearíamos la IP perteneciente al ISP, aunque si realiza peticiones de carácter malicioso, sí
bloquearíamos el tráfico entrante a la página hasta que se gestione la correcta configuración de la base de datos para
impedir que una situación así se repita. No se realizaría ningún bloqueo de IPs dado que una de ellas es una IP privada
en la misma subred y la otra IP pertenece a un ISP Suizo y dada la naturaleza de los ISP, asignan sus IPs a diferentes
usuarios dependiendo de la disposición que tengan, no se valora necesario su bloqueo.
Unidad 4
130
Taller 3
7
EJERCICIO PRÁCTICO 6
Unidad 2
131
Actividad 1
7 EJERCICIO PRÁCTICO 6
7.1 Enunciado ejercicio práctico 6
Para la realización de este ejercicio práctico tendrás que descargarte el archivo «Ejercicio_2.log»
que encontrarás entre los recursos descargables de la unidad.
• Analiza el log correspondiente al ejercicio 2 de Análisis phishing y determina qué IP se pueden
observar generando tráfico. Indicar si estas IP pueden ser maliciosas y si el tráfico que han
generado es de origen malicioso.
• En el caso de que lo sean indicar por qué el tráfico es malicioso (tipo de ataque o peticiones
sospechosas) e indicar si se debieran bloquear la IP o no.
Unidad 4
132
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
• Lo primero que se debe hacer es abrir el archivo con GoAccess, para lo cual habrá que modificar el script
añadiendo el fichero correcto, como se ha explicado en el apartado descarga y análisis de logs del taller 2.
Unidad 4
133
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
• A continuación, se ejecuta el script de manera que se muestra la información que proporciona GoAccess del
archivo .log sin ningún error. Ahora nos tendremos que fijar, como en otros casos, en las peticiones que están
presentes en el log.
Unidad 4
134
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
• Estas son las dos IP que puedes observar que han hecho peticiones en el log. Puedes observar también, que una
de ellas la 113.31.114[.]183 ha realizado muchísimas más peticiones que la otra, en concreto, el 91% de las
peticiones son suyas. Analiza ambas IP con motores de análisis como VirusTotal.
• Puedes observar que la IP que ha hecho la gran mayoría de las peticiones se trata de una IP que tiene
varias detecciones por actividad maliciosa y pertenece a un ISP chino.
Unidad 4
136
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
Unidad 4
137
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
Unidad 4
138
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
Unidad 4
139
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
• Viendo las páginas a las que se intenta acceder puedes observar que las peticiones son muy genéricas y, en su
gran mayoría, fallidas. Únicamente hay 1 petición exitosa, hacia recursos muy comunes que se encuentran en rutas
sencillas que cualquier sitio web puede tener. Los atacantes intentan acceder a esos recursos probando distintas
rutas no demasiado complejas con el objetivo de acceder a ellos, si se da el caso de que la página web se
encuentra mal configurada; esto da más información de la naturaleza maliciosa de estas peticiones.
• También podrás dirigirte al log, utilizando el comando cat Ejercicio_2.log para mostrar su contenido podrás
observar lo siguiente:
Unidad 4
140
Taller 3
7 EJERCICIO PRÁCTICO 6
7.2 Solución ejercicio práctico 6
• Las peticiones que hemos observado antes que tenían carácter malicioso son realizadas por la IP china y se han
realizado de manera masiva.
• Esto lleva a la conclusión de que se ha intentado realizar un ataque DoS desde la IP china con la intención de
deshabilitar nuestra página web dado el volumen de peticiones generadas de manera genérica hacia la página en
un periodo breve de tiempo. Concluimos también que se debe tratar de un ataque DoS debido a que las
peticiones llegan todas desde la misma IP. Las peticiones realizadas desde la otra IP no parecen maliciosas. Con
esta información la única IP que se debería bloquear es la 113.31.114[.]183.
Unidad 4
141
Taller 3
8
EJERCICIO PRÁCTICO 7
Unidad 2
142
Actividad 1
8 EJERCICIO PRÁCTICO 7
8.1 Enunciado ejercicio práctico 7
Para la realización de este ejercicio práctico tendrás que descargarte el archivo «Ejercicio_3.log»
que encontrarás entre los recursos descargables de la unidad.
• Analiza el log correspondiente al ejercicio 3 de Análisis phishing y determina qué IP se pueden
observar generando tráfico. Indicar si estas IP pueden ser maliciosas y si el tráfico que han
generado es de origen malicioso.
• En el caso de que lo sean indicar porque el tráfico es malicioso (tipo de ataque o peticiones
sospechosas) e indicar si se debieran bloquear la IP o no.
Unidad 4
143
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Como en otros casos anteriores, lo primero que debes hacer es abrir el archivo .log con GoAccess y modificar el
script con el archivo correcto para evitar errores y ejecutarlo.
Unidad 4
144
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Una vez ejecutado GoAccess lo primero en lo que tendrás que fijarte es en las IP que han realizado las peticiones,
información que se encuentra en el apartado «5 – Host e IPs de los Visitantes».
Unidad 4
145
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Puedes observar que todas las peticiones de este log las ha realizado la misma IP, procedemos con el análisis de
esta IP.
Unidad 4
146
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• La IP no tiene ninguna detección maliciosa y pertenece a un ISP Alemán, lo cual por ahora indicaría que la IP no es
maliciosa. Ahora fíjate en las peticiones que no han dado error que ha realizado, para ello accede al apartado «2 –
Archivos Requeridos (URLs)».
Unidad 4
147
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Las peticiones que se realizan parecen ser de carácter malicioso a simple vista se observan muchas peticiones de
post y get a rutas genéricas, muy comunes, con el objetivo de buscar vulnerabilidades en el sitio web para poder
explotarlas y realizar un ataque exitoso, algunas de estas rutas genéticas son login.php, ruta genérica de login de la
página y setup.php, ruta genérica de configuración de la página. También hay que tener en cuenta que todas estas
peticiones se están realizando desde la misma IP.
Unidad 4
148
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Ahora consulta las peticiones que no han sido exitosas, es decir, que han intentado acceder a una página que no
existe. Esta información está en el apartado «4 – URLs no encontradas (404)»
Unidad 4
149
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Vemos que estas peticiones son muy similares a la de las peticiones aceptadas, lo cual hace sospechar que se
puede tratar de un ataque de DoS. Dado el gran volumen de peticiones en este caso exitosas, realizadas en un
breve intervalo de tiempo.
• Ahora fíjate en el contenido del fichero log para tener una idea más general de cuál ha sido la actividad realizada por
la IP. Para abrir el fichero log, al igual que en ejercicios anteriores, deberás ejecutar el comando cat; siendo en este
caso cat Ejercicio_3.log
Unidad 4
150
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Como puedes observar la actividad de la IP consiste en peticiones masivas muy similares, es decir, realizando un
ataque DoS.
Unidad 4
151
Taller 3
8 EJERCICIO PRÁCTICO 7
8.1 Solución ejercicio práctico 7
• Por lo tanto, determinamos que se trata de un ataque DoS ya que se observan múltiples peticiones a rutas
genéricas de manera masiva en un breve periodo de tiempo con el objetivo de interferir en el correcto
funcionamiento de la página web. La única IP presente en el log sería la única responsable de estas acciones y
seria la IP que marcaremos como IOC y deberíamos valorar para su bloqueo dado que se trata de una IP
perteneciente a un ISP Alemán conocido. Dependerá de la política de seguridad de nuestra empresa valorar el
hecho de bloquear esta IP o no.
Unidad 4
152
Taller 3
9
EJERCICIO PRÁCTICO 8
Unidad 2
153
Actividad 1
9 EJERCICIO PRÁCTICO 8
9.1 Enunciado ejercicio práctico 8
Para la realización de este ejercicio práctico tendrás que descargarte el archivo «Ejercicio_4.log»
que encontrarás entre los recursos descargables de la unidad.
• Analiza el log correspondiente al ejercicio 4 y determina qué IP se pueden observar generando
tráfico. Indica si estas IP pueden ser maliciosas y si el tráfico que han generado es de origen
malicioso.
• En el caso de que lo sean indicar porque el tráfico es malicioso (tipo de ataque o peticiones
sospechosas) e indicar si se debieran bloquear la IP o no.
Unidad 4
154
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• Lo primero, al igual que en los ejercicios anteriores, es abrir el archivo con GoAccess modificando el script con el
nombre de archivo adecuado para que no aparezcan errores y ejecutar el script, de manera que se abra GoAccess
mostrando la información del log sin errores.
Ilustración 119: Abre el archivo .log con GoAccess. Ilustración 120: Comando para ejecución.
Unidad 4
155
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• Lo siguiente que deberás hacer es comprobar las IP que se encuentran en el log y realizar un análisis de estas IP
accediendo al apartado «5 – Host e IPs de los Visitantes».
• Como podemos ver, dos de estas direcciones, la 103.232.200[.]120 y la 1.171.52[.]214 han realizado muchísimos
más accesos que la tercera.
Unidad 4
156
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
Unidad 4
157
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• La IP 5. 146.135[.]21 no tiene ninguna detección maliciosa y pertenece a un ISP Alemán, lo cual por ahora indicaría
que la IP no es maliciosa.
Unidad 4
158
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• La segunda IP, la 1.171.52[.]214, tiene varias detecciones no pertenece a un ISP y se encuentra localizada en
Taiwan.
• La última IP, la 103.232.200[.]120, tampoco tiene detecciones maliciosas y pertenece a un ISP japonés.
• Tras realizar el análisis de las IP fíjate en las peticiones exitosas realizadas por estas IP para ver qué tipo de
peticiones han realizado al servidor. Para ello revisa el apartado «2 – Archivos Requeridos (URLs)»
Unidad 4
160
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• Se pueden observar las mismas peticiones de post y get a login.php realizadas que en el ejercicio 3, las cuales has
catalogado como actividad maliciosa. Si te fijas en el log podrás observar que la actividad es realizada por la misma
IP que en el ejercicio 3. También puedes observar otro tipo de peticiones, este tipo de peticiones con «/../» se tratan
de un ataque de directory traversal. Por ello puedes observar a simple vista que las peticiones realizadas son
maliciosas.
• Para observar qué IPs han realizado qué peticiones vamos a excluir IPs del script para visualizar cada IP por
separado. Para ello utilizaremos el parámetro «-e “IP”».
Unidad 4
161
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
Unidad 4
162
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• Podremos observar que las peticiones de path traversal attack vienen únicamente de la IP 1.171.52[.]214, la cual
tenía detecciones por actividad maliciosa como hemos visto anteriormente.
• Por otro lado, podremos observar que la IP que pertenece a un ISP Alemán, 5.146.135[.]21, tiene muchas menos
peticiones y son rutas más específicas y que no parecen ser maliciosas, por lo que podríamos descartar que se trata
de actividad maliciosa.
Unidad 4
165
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• De la última IP podremos observar que se ha intentado realizar un ataque DoS accediendo, como ya hemos visto
anteriormente, a diferentes rutas genéricas en un breve intervalo de tiempo.
• También podrá dirigirte al mismo archivo de log para identificar cuáles son las IP que han hecho estos ataques y
cuáles no. Lanzaremos el comando cat de la siguiente forma para leer el contenido del fichero cat Ejercicio_4.log
Unidad 4
166
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
Unidad 4
Ilustración 137: Archivo log (II). 167
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• Observaremos que las IPs que sabemos que son con certeza maliciosas y han realizado actividad fraudulenta son la
1.172.52[.]214 y la 103.232.200[.]120
Unidad 4
168
Taller 3
9 EJERCICIO PRÁCTICO 8
9.2 Solucionario ejercicio práctico 8
• Por lo tanto, puedes determinar que se trata de un ataque DoS, conjunto con un ataque de directory traversal. Se
tratará de un ataque de DoS por la cantidad de peticiones genéricas que podemos observar igual que en casos
anteriores realizadas por la IP 103.232.200[.]120; así como de un ataque de directory traversal realizado por la IP
1.172.52[.]214 por la forma tan partículas que tiene este tipo de ataque y que hemos podido observar en los logs. En
conclusión, las IPs que deberías marcar como IOCs para su bloqueo son 1.171.52[.]214 y 103.232.200[.]120.
Unidad 4
169
Taller 3
¡GRACIAS!
Unidad 4
Taller
1703