08 Taller 3

CURSO ONLINE DE
CIBERSEGURIDAD
Especialidad Análisis de Incidentes y
Forense
Taller 3
Unidad 4. Análisis de incidentes
Unidad 4
Taller13
Contenidos
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING 4
2 EJERCICIO PRÁCTICO 1 38
Unidad 2
Actividad 1
Contenidos
Duración total del taller: 1 hora y 30 minutos
Unidad 2
Actividad 1
ANÁLISIS DE CORREO1
ELECTRÓNICO PHISHING
Unidad 2
4
Actividad 1
1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING
Para analizar el correo electrónico de phishing dispondrás de los enlaces en las distintas prácticas. No obstante,
también encontrarás entre los recursos descargables de la unidad lo archivos de la práctica que contienen los correos
electrónicos de phishing. Esta práctica se realizará en la máquina virtual de Kali Linux.
Nota: cuidado con la descarga y manejo de estos archivos dado

que pueden contener malware o enlaces de carácter malicioso.
Por ello, es conveniente que los descargues directamente a la máquina virtual, ya que si los descargas a tu ordenador
personal, el antivirus podría detectarlos y eliminarlos.
Unidad 4
5
Taller 3
• Para realizar el análisis de phishing utilizarás la herramienta de análisis de malware Cuckoo sandbox. Cuckoo es
una sandbox para el análisis tanto estático como dinámico de ficheros. Nos permitirá realizar el análisis de
diferentes tipos de ficheros como ejecutables, librerías, mails, etc. El programa nos proporcionara un informe
detallado del comportamiento del fichero sospechoso para ayudarnos a determinar si es malicioso o no.
• En primer lugar, accederemos a la página web de cuckoo a través del siguiente enlace: https://cuckoo.cert[.]ee/
Unidad 4
6
Taller 3
• Veremos el siguiente menú y deberemos arrastrar el fichero a analizar a la zona marcada:
Ilustración 1: Arrastrar el fichero a analizar a «Submit a file for analisis».
Unidad 4
7
Taller 3
• Tras esto nos saldrá el siguiente menú en el que podremos modificar las variables del análisis como el tiempo que
se pasa analizando el fichero o si las comunicaciones las hace a través de Tor o Internet, entre otros. En nuestro
caso no es necesario modificar ninguna variable, por lo que seleccionaremos el fichero y pulsaremos en el botón
«analyze»:
Ilustración 2: Seleccionamos fichero y pulsamos «analyze».
Unidad 4
8
Taller 3
• Una vez acabe el análisis debes acceder al enlace que se nos presente, va a abrir el correo electrónico en la
herramienta Cuckoo. En el lateral izquierdo encuentras diversas opciones como puedes observar en la siguiente
captura de pantalla:
Ilustración 3: Página de inicio del análisis con Cuckoo.
Unidad 4
9
Taller 3
• Las diferentes opciones que aparecen son:
 Summary: incluye un resumen general del análisis.

 Static Analysis: se muestra el análisis estático del correo electrónico.
 Extracted Artifacts: se muestran objetos relevantes para el análisis. Para nuestro caso particular no hay
ninguno.
 Behavioral Analysis: se muestra el comportamiento del fichero. Pero para nuestro caso, al tratarse de un
análisis de correo electrónico, en este apartado no se va a encontrar información relevante.
 Network Analysis: se muestra información sobre las comunicaciones que se realizan durante el análisis. Dado
que se trata de un análisis de un correo electrónico, no hay ninguna comunicación.
 Dropped Files: se mostrarían los ficheros asociados al correo electrónico. Pero en nuestro caso no había
ningún fichero asociado, por lo que no es relevante en este caso.
Unidad 4
10
Taller 3
 Dropped Buffers: se mostrarían los buffers que han utilizado. Pero en nuestro caso no aparecerá ninguna
información puesto que no han utilizado.
 Process Memory: se muestran los procesos de memoria, pero al tratarse de un correo electrónico no se utiliza
ningún proceso de memoria.
El resto de las opciones son para la exportación o comparación de diferentes análisis. Opciones que no interesan en
este caso.
Unidad 4
11
Taller 3
• Tras conocer las diferentes opciones que proporciona la herramienta debes seleccionar la opción «Static Analysis»,
dentro de la cual escoge la opción «Strings» con el objetivo de poder observar todas las strings o cadenas de
caracteres que están en el correo electrónico y comenzar el análisis de su contenido.
Ilustración 4: Página «Static Analysis > String»
Unidad 4
12
Taller 3
• Ahora, podrás observar todo el contenido en formato HTML del correo electrónico. Para comenzar con el análisis
propiamente dicho lo primero es buscar al receptor del correo electrónico. Para ello, utiliza el buscador del
navegador; una forma rápido de abrirlo es con la combinación de teclas «CTRL + F». Para buscar el receptor del
correo entre todas las strings, escribe la palabra «to» (sin las comillas). Busca entre los resultados hasta encontrar
una cadena de correo electrónico; ésta será la dirección del receptor, como puede verse en la siguiente captura de
pantalla:
Ilustración 5: Búsqueda del receptor del correo electrónico. Unidad 4

13
Taller 3
• Nos fijamos en el receptor del correo electrónico para conocer si puede aportar información acerca del caso. En una
situación en la que se reporta un correo electrónico de phishing es importante conocer el receptor porque podríamos
observar si ha recibido, por ejemplo, más correos electrónicos similares a este, en casos en los que se considere
aplicable.
• Lo siguiente que debes buscar es el emisor del correo electrónico. Para ello, al igual que en el paso anterior, utiliza
el buscador del navegador con la combinación de teclas «CTRL + F» y como término de búsqueda pon la palabra
«from» (sin las comillas).
Unidad 4
14
Taller 3
Ilustración 6: Búsqueda de emisor del correo electrónico.
Unidad 4
15
Taller 3
• Conocer el emisor permite saber el origen del correo electrónico. Para el análisis también resulta importante
investigar el dominio del correo electrónico para obtener más información del emisor. Para ello, copia el dominio del
correo electrónico del emisor, que en este ejemplo es «siol[.]net», y utiliza la herramienta de VirusTotal con el
objetivo de obtener información de este dominio tal y como se muestra en la siguiente captura de pantalla:
Ilustración 7: Búsqueda del dominio en VirusTotal.
Unidad 4
16
Taller 3
• Como se puede observar en el

apartado «Detection», no se ha
detectado ninguna actividad maliciosa
para este dominio en los principales
analizadores de seguridad. El siguiente
paso sería observar la pestaña de
«Details» y buscar una posible firma
que indique la legitimidad del dominio o
alguna IP relacionada que pueda
Ilustración 8: Búsqueda en «Details».
analizarse.
Unidad 4
17
Taller 3
• Como se ha visto, aparecen dos IP asociadas, por lo tanto, se realiza la búsqueda oportuna de la misma utilizando
VirusTotal.
Ilustración 9: Búsqueda de la primera IP asociada.
Unidad 4
18
Taller 3
Ilustración 10: Búsqueda de la segunda IP asociada
• Puedes observar que ambas IP tampoco tienen ninguna detección maliciosa y, además, informa de que está
asociadas a un proveedor de centro de datos o data center y se encuentran geolocalizadas en Croacia.
Unidad 4
19
Taller 3
• También, se puede realizar una búsqueda de las IP con la herramienta online Scamalytics que proporciona el nivel
de riesgo de fraude que tiene asociado una IP.
Ilustración 11: Búsqueda de la primera IP en Scamalytics.
Unidad 4
20
Taller 3
Ilustración 12: Búsqueda de la segunda IP en Scamalytics.
Unidad 4
21
Taller 3
• Como muestra esta herramienta, las IP tienen asociado un riesgo muy bajo, de puntación 0, de fraude.
• Una vez conoces información acerca del emisor del correo electrónico, lo siguiente es buscar el return path, El return
path contendrá una dirección que indica el origen de un email y que se utiliza para procesar los rebotes de los
correos enviados desde el origen, es utilizado mayormente por servicios de marketing para registrar los correos que
han llegado a sus destinatarios. Para esto, como en pasos anteriores, utilizamos la combinación de teclas «CTRL +
F» y buscamos «return path»
Unidad 4
22
Taller 3
Ilustración 13: Búsqueda de return path.
Unidad 4
23
Taller 3
• En el ejemplo, vemos que no hay return path. En caso de que hubiera y la dirección de correo del return path no
coincidiera con la del emisor del correo significaría que el correo electrónico no se devuelve al email del emisor
(correo electrónico del campo from) sino a un tercero (correo electrónico del campo return path). Si el return path
fuese una dirección diferente, convendría volver a investigar el nuevo dominio para ver si es potencialmente
malicioso.
Sin embargo, si ambas direcciones coinciden, el emisor y la dirección de procedencia del email SMTP es el mismo y
al haber analizado ya el dominio del correo del emisor no habría que repetirlo.
Unidad 4
24
Taller 3
• Por otro lado, un paso interesante sería buscar el dominio en posibles listas negras. Para ello, vamos a utilizar la
herramienta online Mxtoolbox. Mientras que Scamalytics nos dará una idea de lo fiable que es una IP, Mxtoolbox
nos indicará en cuantas listas negras se encuentra el dominio de la dirección de correo electrónico.
Ilustración 14: Búsqueda en listas negras.
Unidad 4
25
Taller 3
• Como puede observarse el dominio

«siol[.]net» no se encuentra en ninguna
lista negras, lo cual puede aportar más
información de si el origen del correo
electrónico es fraudulento o no.
• El siguiente paso del análisis del correo
electrónico es el campo del asunto del
correo electrónico o «Subject». Para
ello, como en paso anteriores, utiliza la
combinación de teclas «CTRL + F» y Ilustración 15: Búsqueda de Subject.
busca «Subject».
Unidad 4
26
Taller 3
• El análisis de contenido del correo electrónico puede ayudarnos a determinar a primera vista si el correo es
malicioso o no. Comparando si las URL que contiene el correo electrónico concuerdan con el asunto del mismo
puede indicarnos si se trata de un correo electrónico malicioso. En este caso el asunto trata sobre que el buzón de
correo electrónico del receptor, pudiendo indicar algún error con este. Una vez conocido el destinatario; el emisor,
junto con su return-path; y el asunto del correo electrónico, el siguiente paso es el análisis en sí del contenido del
correo electrónico, es decir, del cuerpo del mensaje. Para ello, en primer lugar, busca posibles URL que se
encuentren en el mensaje. Esto lo puedes realizar usando la combinación de teclas «CTRL + F» y buscando por
«http».
Unidad 4
27
Taller 3
Ilustración 16: Búsqueda de URL.
Unidad 4
28
Taller 3
• Como puede observarse solo aparece una URL. Vamos a analizar la URL y, para ello, utilizaremos diversas
herramientas.
• En primer lugar, utilizaremos VirusTotal, de la forma indicada en la siguiente imagen:
Ilustración 17: Búsqueda de la URL en VirusTotal.
Unidad 4
29
Taller 3
• Tal y como puede observarse, esta

herramienta detecta la URL, bien como
maliciosa, bien como caso de phishing en 6
analizadores de seguridad de 88.
• Posteriormente, consulta en esta herramienta,
el domino asociado a la URL, es decir,
introduce únicamente el texto «wed-
etudes[.]com».
Ilustración 18: Búsqueda del dominio en VirusTotal
Unidad 4
30
Taller 3
• También es detectado como malicioso o phishing, pero en este caso únicamente por 5 analizadores. Explorando la
pestaña «Details» puedes ver asociada 1 IP.
Ilustración 19: Pestaña «Details» del dominio.
Unidad 4
31
Taller 3
• Ahora busca esa IP asociada en la misma herramienta. Conseguirás la siguiente información:
Ilustración 20: Análisis de IP 162.241.158[.]186
Unidad 4
32
Taller 3
• Como se puede ver en el análisis de la

IP, está relacionada con Unified Layer,
un data center de Estados Unidos.
• Tras el análisis inicial con VirusTotal,
vamos a utilizar otra herramienta para
obtener más información de la URL
que se incluía en el correo electrónico:
URLcan.io.
Ilustración 21: Análisis de la URL con URLcan.io
Unidad 4
33
Taller 3
• Con este análisis puedes observar la verdadera URL a la que lleva la que se incluía en el correo electrónico y que
está relacionada con Unifed Layer, información que ya se había obtenido del análisis anterior con VirusTotal. Pero
esta herramienta proporciona una captura de pantalla de la página que, en este caso, se puede observar que ya no
existe.
• Para comprobar la página web a la que lleva una URL también se puede utilizar la herramienta Browserling, se trata
de un simulador de navegador online. Para utilizar esta herramienta solo hay que introducir la URL que se pretenda
buscar y esperar. Permite seleccionar tanto el sistema operativo como el navegador por si alguno de estos genera
algún problema.
Unidad 4
34
Taller 3
Ilustración 22: Análisis de la URL mediante browserling.
Unidad 4
35
Taller 3
• Tal y como ya apareció con herramientas anteriores la página ya no existe.

• Analizando lo que ya conocemos de la URL y relacionándolo con el asunto del correo electrónico puedes
determinar que no existe coincidencia con el correo electrónico. Tanto en el asunto como en el cuerpo del correo,
se informa que el buzón de almacenamiento ha llegado a su límite y para evitar ser bloqueado debe renovar el
límite iniciando sesión en el enlace que se proporciona. Es fácil deducir que la URL llevaría al usuario a una
página en la cual se le pedirían sus credenciales del correo electrónico para restaurarlo y que así se produciría el
robo de credenciales.
• Es común en casos de phishing encontrar que la URL lleva a una página que ya no existe puesto que son casos
que se intentan de forma masiva, es decir, se envía gran cantidad de correos falsos y, tras un periodo de tiempo
en el que han conseguido recopilar bastantes credenciales, eliminan la página web.
Unidad 4
36
Taller 3
• Para finalizar con este análisis hay que señalar las medidas que conviene tomar ante este caso de phishing. Los
IOCs (Indicadores de Compromiso) que deberías bloquear del caso serán:
 Podrías bloquear el correo electrónico del emisor, sender, si tuvieras la certeza de que es malicioso, pero la
acción ideal que deberías tomar es el bloqueo del dominio del correo para no recibir más correos electrónicos
desde esa dirección. Sin embargo, en este caso no tenemos la certeza de que el dominio «siol[.]net» sea
malicioso a pesar de saber que se trata de un caso positivo de phishing.
 Dado que la página web a la que dirigía la URL presente en el correo esta caída no merecería la pena
bloquearla, aunque deberíamos tener en cuenta que podría ser levantada de nuevo para realizar nuevos
ataques. Pero en este caso la mejor opción sería bloquear el dominio principal de la URL «wed-etudes[.]com»
el cual no tiene buena reputación, como puedes comprobar si haces una última búsqueda.
Unidad 4
37
Taller 3
2
EJERCICIO PRÁCTICO 1
Unidad 2
38
Actividad 1
2 EJERCICIO PRÁCTICO 1
2.1 Enunciado ejercicio práctico 1
Analiza el siguiente correo electrónico e indica cuáles serían los

indicadores de compromiso que se deberían bloquear para poder cerrar
el incidente de manera satisfactoria.
Entre los recursos descargables de la unidad encontrarás el archivo «ejercicio_1.zip» que podrás utilizar en caso de
que el enlace facilitado en este ejercicio no esté disponible.
Unidad 4
39
Taller 3
2.2 Solución ejercicio práctico 1
• Observa las cabeceras del correo electrónico, como el Subject, el From, el To, el Cc o el Return-path, en este último
será en el que te tengas que fijar dado que puede indicar cuál es el objetivo con el que se ha mandado el correo
electrónico en primer lugar dado que el return path será la dirección a la que se mandará el correo electrónico de
rebote, es decir cada vez que un usuario reciba uno de estos correos se notificará a la dirección de correo del return
path. Esto es habitualmente utilizado por empresas de envío masivo de correo electrónico para poder llevar un
registro de los correos electrónicos mandados y para almacenar todas las respuestas a estos correos electrónicos.
• Lo primero que haremos será dirigirnos al apartado de «Static Analysis», y dentro al apartado «strings» podrás ver el
correo electrónico en formato HTML.
Unidad 4
40
Taller 3
• Lo primero es revisar si coinciden las cabeceras Return-path y From en busca de un intento de suplantación de
identidad:
Ilustración 23: Búsqueda From.
Unidad 4
41
Taller 3
Ilustración 24: Búsqueda Return path.
Unidad 4
42
Taller 3
• Puedes ver que ambas cabeceras coinciden.

Sin embargo, debes buscar el dominio de
este por si puede aportar alguna información
extra. También debes buscar si la dirección
de correo electrónico se encuentra en
alguna blacklist, esto aportaría información
de si se ha utilizado anteriormente para
realizar algún fraude. Una herramienta muy
útil para comprobar esto es Mxtoolbox.
Ilustración 25: Herramienta MXToolBox.
Unidad 4
43
Taller 3
Ilustración 26: Resultados del análisis en VirusTotal.
Unidad 4
44
Taller 3
• Observa que a simple vista no tiene detecciones en ninguna de las dos búsquedas realizadas, tanto utilizando la
herramienta MxToolBox para buscar si la cuenta de correo se encuentra en alguna lista negra como realizando una
búsqueda del dominio del correo en Virustotal. Ahora dirígete a la sección de «Details» en VirusTotal y verás que
tiene 3 IP asociadas con este dominio (para balanceo de carga). Las tres son de la empresa de hosting Wix.com,
Ltd., la cual es una empresa de hosting gratuito lo que podría indicar que la dirección de correo electrónico ha sido
creada expresamente para una campaña de phishing (dado que se utilizan cuentas de «usar y tirar»). Ninguna de
las IP tiene detecciones.
Unidad 4
45
Taller 3
Ilustración 27: Análisis de IP.
Unidad 4
46
Taller 3
• Ahora fíjate en la URL que presentaba

el correo electrónico. Para encontrarla
busca la etiqueta «href» (usada en
HTML para insertar una URL):
Ilustración 28: Búsqueda de «href».
Unidad 4
47
Taller 3
• Copia la URL e investígala en VirusTotal, así como en Browserling, el cual es un simulador de navegador web.
 En VirusTotal no encontrarás ninguna detección.
• Al insertar la URL en Browserling, puedes ver que la URL redirige a otra URL que es la realmente sospechosa. En
esta URL encuentras un enlace a un supuesto documento. Al entrar en dicho enlace puedes ver que la página está
caída. Esto es muy típico en casos de phishing, que lanzan correos electrónicos masivos para redirigir a URL con
descargas de malware, y cuando pasa un tiempo descartan la URL para evitar ser detectados.
Unidad 4
48
Taller 3
Ilustración 29: URL maliciosa. Ilustración 30: Página de descarga caída.
Unidad 4
49
Taller 3
• Con esto no podríamos afirmar que

se trata necesariamente de un caso
de phishing, ya que podría tratarse
de spam, así que revisamos la URL a
la que redirigía el correo electrónico
en VirusTotal, y puedes ver que
tiene 4 detecciones de phishing,
mientras que su dominio tiene 5
detecciones. Ilustración 31: Detecciones de la URL.
Unidad 4
50
Taller 3
Ilustración 32: Detecciones del dominio.

• Aunque no son suficientes detecciones como para asegurar que no se trata de spam, dadas las sospechas puedes
determinar que se trata de phishing, por lo tanto, bloquearemos el dominio de la URL, en este caso glitch[.]me.
Unidad 4
51
Taller 3
3
Unidad 2
52
Actividad 1
Analiza el siguiente correo electrónico proporcionado e indica si se trata

de un correo electrónico de phishing o no. En el caso de tratarse de un
correo electrónico de phishing indica cuáles son los indicadores de
compromiso que se deberían bloquear para evitar que se vuelvan a
producir casos de phishing de este tipo.
Unidad 4
53
Taller 3
• Observa la cabecera, el From y Return-Path no

coinciden, aunque son del mismo dominio de correo
electrónico. Esto es debido a que el return path es
utilizado para el bounce o rebote de los correos
electrónicos, es decir, una vez un usuario recibe el
correo se mandará la respuesta a un buzón
específico o cuenta determinada para ello, es
utilizado normalmente por empresas de Marketing
masivo. El Return-Path se utiliza para procesar las
notificaciones de rebotes de los correos electrónicos. Ilustración 33: From y Return path no coincidentes.
Unidad 4
54
Taller 3
• Después de leer el correo electrónico, parece que están intentando vender una aplicación software para integración
de software embebido, y adjuntan varios enlaces.
• Debido a que se trata de un fichero «.msg» en vez de un «.eml», su código fuente no muestra código HTML, sino
código en JavaScript. Es necesario tener en cuenta esto puesto que la referencia a los enlaces es diferente según
se utilice uno u otro. En HTML la referencia a los enlaces se pone con «<a href» por lo que para buscar las URLs
será necesario utilizar la cadena «href». Sin embargo, si se utiliza JavaScript la referencia a los enlaces se pone con
la etiqueta «url» y no se utiliza «href», por tanto, para buscar las URLs en este caso será necesario utilizar la cadena
«url» en lugar de «href».
Unidad 4
55
Taller 3
• Por ello, busca en el código fuente del correo electrónico «url» para encontrar todas las URL presentes en el correo.
Ves que hay muchas URL, pero muchas de ellas se repiten, y otras son simplemente imágenes (lo puedes ver
porque terminan en un archivo de tipo imagen como «.png» o «.jpeg»).
Unidad 4
56
Taller 3
• En realidad, solo hay 4 URL reales en el correo

electrónico, las cuales, al analizarlas con
URLcan.io y VirusTotal, verás que no son
maliciosas.
Ilustración 35: Análisis de URL.

Unidad 4
57
Taller 3
Ilustración 36: Análisis de URL. Ilustración 37: Análisis de URL.
Unidad 4
58
Taller 3
Ilustración 38: Análisis de URL. Ilustración 39: Análisis de URL.
Unidad 4
59
Taller 3
• Las imágenes anteriores son el resultado de buscar las 4 URL presentes en el correo en la herramienta urlscan.io.
Esta herramienta de escaneo de páginas webs, proporciona, entre otras cosas, una screenshot del sitio web al que
resuelve la URL buscada. A parte de eso, si nos fijamos en el resumen del escaneo, podremos observar que el
dominio de todas las URL está relacionado. En este caso se trata de diferentes páginas legítimas «umi innovation»
donde se promociona UMI, una herramienta de prueba de mercado. Esta página guarda relación con el dominio del
sender y del return path lo que podría ayudar a confirmar la legitimidad del correo.
• Tras comprobar estas URL debes comprobar el dominio de correo electrónico en Virustotal, verás que no tiene
detecciones; y en Scamalytics donde se recategoriza a la empresa propietaria como sospechosa de fraude.
También debes comprobar si se encuentra en alguna blacklist, pero ninguna está en blacklists.
Unidad 4
60
Taller 3
• Encontrarás que las URL están alojadas en servidores de Fastly, una CDN, una red de distribución de contenido
estático en diferentes servidores a lo largo de un territorio, muy importante que sirve a grandes empresas como
Amazon, pero que en Scamalytics tiene una detección de fraude muy elevada. Lo que significa esto es que Fastly
es una empresa muy importante y de enormes dimensiones que trabaja con grandes empresas, pero que trabaja
también con otros clientes y es probable que alguno realice tráfico fraudulento.
• Por tanto, dado el contenido del correo electrónico y después del análisis realizado puedes concluir que se trata de
un correo electrónico de spam y no se bloquea nada dado que el objetivo del emisor no es malicioso. Sin embargo,
se informa al usuario que ha recibido el correo que lo elimine de su bandeja de entrada y en caso de recibir muchos
correos electrónicos de spam por parte del mismo remitente aconsejarle bloquear la dirección de correo en su
buzón.
Unidad 4
61
Taller 3
4
Unidad 2
62
Actividad 1
• Realiza un análisis del siguiente correo electrónico e indica si se

trata de un caso de phishing, correo electrónico malicioso o un
correo electrónico legítimo.
• En el caso de ser un caso de phishing indicar cuáles son los IOC
maliciosos y cuáles deberían ser bloqueados para proteger nuestra
organización.
Unidad 4
63
Taller 3
• Busca el receptor del correo electrónico.
Ilustración 40: Búsqueda del receptor del correo electrónico.
Unidad 4
64
Taller 3
• Como se puede observar, el receptor del correo electrónico es: «polymers-vienna@sibur-int.com».

• Busca el emisor del correo electrónico.
Ilustración 41: Búsqueda del emisor del correo electrónico.
Unidad 4
65
Taller 3
• Como se puede observar, el emisor del correo electrónico es: «info@101logix.com».

• Analiza el dominio del correo electrónico.
Ilustración 42: Análisis del dominio con VirusTotal.
Unidad 4
66
Taller 3
• Como puede observarse no tiene ninguna detección maliciosa y lleva asociada una IP.
• También resulta interesante buscar el dominio en posibles listas negras.
Ilustración 43: Búsqueda de dominio en listas negras.
Unidad 4
67
Taller 3
• Como puede observarse este dominio no se encuentra en ninguna lista negra.

• Analiza la IP asociada.
Ilustración 44: Análisis de la IP asociada con VirusTotal.
Unidad 4
68
Taller 3
• Como puede observarse esta IP tiene

una detección maliciosa. También puede
observarse que está asociada a
UNIFIEDLAYER-AS-1 que, tras una
búsqueda rápida, se ha averiguado que
se trata de una empresa de servicios de
hosting multicloud estadounidense.
Ilustración 45: Análisis de IP asociada con Scamalytics.
Unidad 4
69
Taller 3
• Esta última herramienta, además de la información ya obtenida, relaciona la IP con un riesgo nulo de fraude.
• Realiza una búsqueda de esta IP en posibles listas negras.
Ilustración 46: Búsqueda de la IP asociada en listas negras.
Unidad 4
70
Taller 3
• Como puedes observar la IP no se encuentra listada en ninguna lista negra.
• Busca el return-path.
Ilustración 47: Búsqueda de return-path.
Unidad 4
71
Taller 3
• Tal y como has podido comprobar el

emisor y la dirección de procedencia del
email SMTP no coinciden. Esto indica que
el correo electrónico se devuelve a un
tercero no al emisor que se presenta en el
campo from.
• Analiza el dominio del return path.
Ilustración 48: Análisis del dominio en VirusTotal.
Unidad 4
72
Taller 3
Ilustración 49: Comentarios de la

Ilustración 50: IP asociadas al dominio.
comunidad en VirusTotal.
Unidad 4
73
Taller 3
• Tras realizar una búsqueda del dominio en VirusTotal no se obtiene ninguna detección maliciosa. Sin embargo,
observando los comentarios de la comunidad en esta misma herramienta se hace referencia a casos de phishing o
como link malicioso.
• Además, se observan 4 IP relacionadas, las cuales se buscan en VirusTotal y en posibles listas negras.
Ilustración 51: Análisis de la IP 167.89.123[.]54 en VirusTotal.
Unidad 4
74
Taller 3
Ilustración 52: Búsqueda de la IP 167.89.123[.]54 en listas negras.
Unidad 4
75
Taller 3
Unidad 4
76
Taller 3
Unidad 4
77
Taller 3
Unidad 4
78
Taller 3
Unidad 4
79
Taller 3
• Como puede observarse de las tres IP todas tienen al menos una detección maliciosa y se encuentran listadas en
una lista negra.
Unidad 4
80
Taller 3
Unidad 4
81
Taller 3
• La IP restante no tiene ninguna detección

maliciosa, pero se encuentra en la misma lista
negra que el resto de las IP.
• Además, todas se encuentran relacionadas con
SENDGRID, una plataforma de comunicación
con el cliente para correo electrónico
transaccional y marketing.
• Como anteriormente se ha realizado con el otro
Ilustración 59: Búsqueda del dominio en listas negras.
dominio, se analiza este en posibles listas
negras.
Unidad 4
82
Taller 3
• Tal y como se observa anteriormente el dominio se encuentra en la misma lista negra que las IP que están
relacionadas con él.
• Analiza el asunto del correo electrónico.
Ilustración 60: Búsqueda del asunto del correo electrónico.

Unidad 4
83
Taller 3
• El asunto del correo electrónico puede aportar información del contenido del propio correo. Es decir, te puedes fijar
si el asunto del correo no está relacionado con el contenido del mismo, en cuyo caso podría ser un indicativo de
phishing. En este caso el asunto es «Your password have expired» que aporta mucha información sobre el
contenido del correo electrónico, haciendo referencia a que la contraseña del usuario ha caducado.
• Búsqueda de posibles URL.
Unidad 4
84
Taller 3
Unidad 4
85
Taller 3
• Encuentras 4 URL. Analiza cada una de ellas.
Ilustración 62: Análisis de la URL en VirusTotal.
Unidad 4
86
Taller 3
• En primer lugar, analiza una en VirusTotal, y como se observa en la captura anterior tiene 4 detecciones
maliciosas, entre ellas 3 categorizadas como phishing.
• Posteriormente, analiza el dominio asociado «u25930214.ct.sendgrid[.]net» con la misma herramienta.
Ilustración 63: Análisis del dominio asociado en VirusTotal.

Unidad 4
87
Taller 3
• Tal y como muestra la captura anterior, el dominio es detectado como malicioso por 4 analizadores, la mayoría de
los cuales lo categorizan como phishing.
Ilustración 64: IP asociadas al dominio de la URL.
Unidad 4
88
Taller 3
• También es posible observar que el dominio se encuentra asociado a 4 IP que se analizan por separado con la
misma herramienta.
Ilustración 65: Análisis de la IP 167.89.118[.]28 asociada con VirusTotal.
Unidad 4
89
Taller 3
Unidad 4
90
Taller 3
Unidad 4
91
Taller 3
Unidad 4
92
Taller 3
• Ninguna tiene detecciones maliciosas y todas se encuentran asociadas a SENDGRID. Además, en algunas de ellas
los comentarios de la comunidad las asocian a casos de phishing.
• Siguiendo con el análisis de la URL incluida en el correo electrónico se utiliza URLcan.io.
Ilustración 69: Búsqueda de la URL en URLcan.io.
Unidad 4
93
Taller 3
• Esta herramienta permite asegurar que la URL está asociada SENDGRIP. Además URLcan.io permite ver una
captura de pantalla de la página a la que dirige esta URL y se puede observar que el link ya está inutilizado. Esto es
algo común en casos de phishing puesto que son casos que se intentan de forma masiva y si consideran que
bastantes personas han sospechado de su veracidad y lo han reportado eliminan la página.
• Para comprobar la redirección de la URL se utiliza browserling e igualmente se observa que la página ya no existe.
Unidad 4
94
Taller 3
Unidad 4
95
Taller 3
• El resto de las URL tienen las mismas detecciones maliciosas y al tener el mismo dominio están relacionadas con
las mismas IP analizadas.
• Con toda la información recopilada es posible determinar que se trata de un caso de phishing. En el correo
electrónico se informa de la caducidad de una contraseña y se le pedirá al usuario sus credenciales para restaurarla.
• Finalmente, las medidas que se toman ante casos de phishing son:
 Bloquear el dominio «101logix[.]com» para no recibir más correos electrónicos desde esta dirección.
 Bloquear el dominio de la URL puesto que está relacionada con múltiples detecciones maliciosas.
Unidad 4
96
Taller 3
5
Unidad 2
97
Actividad 1
• Realizar un análisis del siguiente correo electrónico e indicar si se

trata de un caso de phishing, correo electrónico malicioso o un
correo electrónico legítimo.
• En el caso de ser un caso de phishing indicar cuales son los IOC
maliciosos y cuáles deberían ser bloqueados para proteger nuestra
organización.
Entre los recursos descargables de la unidad encontrarás el archivo «ejercicio_4.7z» que podrás utilizar en caso de que
el enlace facilitado en este ejercicio no esté disponible.
Unidad 4
98
Taller 3
• Al igual que en anteriores

ocasiones, vamos a empezar a
analizar quiénes son el remitente
y el destinatario del correo
electrónico.
• Busca el receptor del correo
electrónico.
Ilustración 71: Búsqueda del receptor del correo electrónico.
Unidad 4
99
Taller 3
• Como se puede observar el receptor del correo electrónico es: «info-contactinfo@apsc.ubc.ca».

• Busca el emisor del correo electrónico.
Ilustración 72: Búsqueda del emisor del correo electrónico.

Unidad 4
100
Taller 3
• Como se puede observar el emisor del correo electrónico es: «lamiins@himlizzzkil.co[.]uk».

• Analiza el dominio del correo electrónico.
Ilustración 73: Análisis del dominio con VirusTotal.
Unidad 4
101
Taller 3
• Como puede observarse no tiene ninguna detección maliciosa.

• También resulta interesante buscar el dominio en posibles listas negras.
Ilustración 74: Búsqueda de dominio en listas negras.
Unidad 4
102
Taller 3
• Como puede observarse este dominio no se encuentra en ninguna lista negra.

• Seguiremos ahora por el asunto del correo electrónico.
Ilustración 75: Búsqueda del asunto del correo electrónico.
Unidad 4
103
Taller 3
• El asunto del correo electrónico es «Mail Quarantine Report» que aporta mucha información sobre el contenido del
correo electrónico, haciendo referencia al reporte de un correo electrónico que se encuentra en cuarentena.
• Continuamos con la búsqueda de posibles URL.
Unidad 4
104
Taller 3
• Nos encontramos únicamente con una URL.
• Analiza la URL.
Ilustración 77: Análisis de la URL en VirusTotal.
Unidad 4
105
Taller 3
• En primer lugar, analízala en VirusTotal y, como se observa en la captura anterior, tiene 4 detecciones maliciosas,
entre ellas 3 categorizadas como phishing.
• Posteriormente analiza el dominio asociado «goofy-cori-292101.netlify[.]app» con la misma herramienta.
Ilustración 78: Análisis del dominio asociado en VirusTotal.
Unidad 4
106
Taller 3
• Tal y como muestra la captura anterior el dominio es detectado como malicioso por 2 analizadores, uno de los cuales
lo categoriza como phishing.
Ilustración 79: IP asociadas al dominio de la URL.
Unidad 4
107
Taller 3
• También es posible observar que el dominio se encuentra asociado a 2 IP que se analizan por separado con la
misma herramienta.
Unidad 4
108
Taller 3
• La primera de las IP no tiene detecciones en esta herramienta y se encuentra asociada a «AMAZON-AES».
Unidad 4
109
Taller 3
• La segunda IP sí tiene 1 detección por malware y está asociada a «DIGITALOCEAN-ASN», un proveedor de

servicios virtuales privados estadounidense.
• Sigue con el análisis de la URL incluida en el correo electrónico utilizando URLcan.io.
Ilustración 82: Búsqueda de la URL en URLcan.io.
Unidad 4
110
Taller 3
Ilustración 83: Screenshot que proporciona URLan.io.
Unidad 4
111
Taller 3
• Esta herramienta permite asegurar que la URL está asociada con el ISP de EEUU «DIGITALOCEAN-ASN».
Además URLcan.io permite ver una captura de pantalla de la página a la que dirige esta URL y se puede observar
el logotipo de Webmail y la solicitud de las credenciales para acceder al correo electrónico. Webmail es un sistema
de acceso al correo electrónico que permite acceder al e-mail desde cualquier navegador sin necesidad de
configurar las cuentas en un programa de correo electrónico como Outlook o similar.
• Para comprobar la redirección de la URL se utiliza browserling e igualmente se observa el logotipo de Webmail y
la solicitud de credenciales. Además, si intentamos acceder al chat en vivo de ayuda redirige a una página que no
existe.
Unidad 4
112
Taller 3
Unidad 4
113
Taller 3
Ilustración 85: Acceso a «Live Chat Support».
Unidad 4
114
Taller 3
• Con toda la información recopilada es posible determinar que se trata de un caso de phishing. En el cuerpo del
correo electrónico se informa del reporte de una serie de emails que se encuentran en cuarentena y para su lectura
se solicitan las credenciales del usuario simulando el logotipo de Webmail.
• Finalmente, las medidas que se toman ante casos de phishing son:
 Bloquear el dominio «himlizzzkil.co[.]uk» para no recibir más correos electrónicos desde esta dirección.
 Bloquear el dominio de la URL puesto que está relacionada con múltiples detecciones maliciosas.
Unidad 4
115
Taller 3
6
Unidad 2
116
Actividad 1
Para la realización de este ejercicio práctico utilizaremos el archivo «Ejercicio_1.log» que ya te has
descargado previamente en el taller 2 de esta unidad.
• Analiza el log correspondiente al ejercicio 1 de Análisis de phishing y determina qué IP se pueden
observar que está generando tráfico. Indica si estas IP pueden ser maliciosas y si el tráfico que
han generado es de origen malicioso.
• En el caso de que lo sean, indica por qué el tráfico es malicioso (tipo de ataque o peticiones
sospechosas) e indica si se debiera bloquear la IP o no.
Unidad 4
117
Taller 3
• Lo primero que debes hacer es abrir el archivo con GoAccess.
Ilustración 86: Comando para abrir el Ejercicio 1.
Ilustración 87: Informe de error.

Unidad 4
118
Taller 3
• Podrás observar que no funciona la opción por defecto de GoAccess y que los mensajes de error están asociados
con el especificador «%h». Para poder abrir el archivo sin problemas y ver su información lo más cómodo es que
recurras al script que creaste en el apartado descarga y análisis de logs del taller 2 y lo modifiques, cambiando el
archivo que queremos que se ejecute.
Ilustración 88: Acceso al script.
Ilustración 89: Modificación de la ruta de ubicación del archivo.

Unidad 4
119
Taller 3
• Tras esto ejecutaremos el

script, lo que provocará que
se ejecute GoAccess sin Ilustración 90: Ejecución del script.
mostrar errores y, en
cambio, mostrando la
información del log.
Ilustración 91: Interfaz de GoAccess.
Unidad 4
120
Taller 3
• Ahora que hemos abierto el log con GoAccess procederemos a realizar el análisis. Lo primero que tendremos que
hacer será fijarnos en las IP que han generado tráfico en el fichero que estamos analizando.
Ilustración 92: Análisis de GoAccess.
Unidad 4
121
Taller 3
• Estas son las IP que han hecho peticiones al servidor. Las analizaremos con VirusTotal para ver si pertenecen a un
ISP, un proveedor de hosting o son IP que pertenecen a alguna empresa privada.
Ilustración 93: Análisis de VirusTotal.

Unidad 4
122
Taller 3
• Para la IP 37.250.55.88 VirusTotal nos indica

que pertenece a un ISP Suizo el cual no tiene
ninguna detección, esto en principio podría
indicarnos que la IP no es maliciosa dado que
un ISP va rotando las IP entre sus clientes y
no sería buena idea bloquear una IP de estas
características. Antes de descartar que la
actividad de la IP no es maliciosa deberemos
fijarnos en si sus peticiones son maliciosas o Ilustración 94: Análisis de IP privada.
no, lo cual haremos más adelante.
Unidad 4
123
Taller 3
• Respecto a la IP 192.168.4[.]163 cómo puedes observar se trata de una IP privada, es fácil de identificar ya que
todas las IP que empiezan por 192[.]168 son privadas. Al estar recibiendo peticiones de esta IP privada significa que
se encuentra en la misma subred que la IP en la que se encuentra nuestro sitio web. Por lo tanto, podrás descartar
que esta IP sea maliciosa.
Sin embargo, hay que tener en cuenta el número de peticiones realizadas por esta IP privada puesto que podría
indicar que el equipo asociado a esa IP se encuentra comprometido. En estos casos habría que realizar un análisis
más en profundidad para descartar actividad maliciosa proveniente desde esa IP.
Unidad 4
124
Taller 3
• A continuación, deberemos fijarnos en las peticiones realizadas por estas IP.
Ilustración 95: Peticiones

realizadas por las IP (I).
Ilustración 96: Peticiones

realizadas por las IP (II).
Unidad 4
125
Taller 3
• Estas peticiones, al menos inicialmente, no parecen maliciosas. En primera instancia tendremos que fijarnos en qué
tipo de peticiones se están realizando: si son de tipo «Get» esto indica que se está realizando una petición para ver
una página, si son de tipo «Post» se estará modificando una página y si es de tipo «Put» se estará añadiendo una
nueva lo cual podría tener más posibilidades de tratarse de actividad maliciosa.
• A simple vista esta actividad que puedes observar no parece ser maliciosa, aunque se pueden observar que hay
muchas peticiones a la base de datos, entre ellas podemos destacar bastantes peticiones post a lo que parece ser la
sección de usuarios de la base de datos. Una petición post se trata de una petición para modificar un recurso dentro
del sitio web.
Unidad 4
126
Taller 3
• Las peticiones de modificación pueden indicar actividad maliciosa o no, todo depende del tipo de servidor que se
tenga implementado y del tipo de peticiones que se esperan recibir en este.
Nota: Encontrarás más información en esta publicación donde explican ejemplos

de distintos tipos de ataque haciendo uso de la herramienta Burp Suite para la
explotación del top 10 de vulnerabilidades según OWASP.
Unidad 4
127
Taller 3
• Utilizando el comando cat Ejercicio_1.log podrás ver el contenido del archivo de log. Visualizando el archivo podrás
observar que la gran mayoría de peticiones a la base de datos son realizadas por la IP perteneciente al ISP, lo cual
podría indicarnos que se han realizado peticiones maliciosas desde esa IP.
Ilustración 97: Utiliza el comando cat Ejercicio_1.log
Ilustración 98: Peticiones post.
Unidad 4
128
Taller 3
• Tras fijarnos en esto deberemos observar las peticiones fallidas que se han realizado, para ello accedemos al
apartado «4 – URLs no encontradas (404)», esto dará información acerca de si se han realizado peticiones
maliciosas y si el servidor las ha denegado. Las peticiones maliciosas más habituales son aquellas que apuntan a
recursos genéricos o comunes, como puede ser:
 index.php (que es el índice de un servidor web)
 wlwmanifest.xml (es un directorio de WordPress
para el soporte de Windows Live Write),
 recursos.env (un archivo. env es un fichero que
permite modificar las variables de entorno) Ilustración 99: Peticiones fallidas.
Entre otros, y que buscan acceder a estos con rutas
diferentes, pero similares.
Unidad 4
129
Taller 3
• Puedes observar que de nuevo las peticiones son muy similares a las anteriormente vistas que realiza la IP,
37.250.55[.]88.
Por lo tanto, concluimos que las peticiones que realiza la IP 37.250.55[.]88 son maliciosas, pero al tratarse de un IP que
pertenece a un ISP, la cual no tiene detecciones, tenemos que valorar si debemos bloquearla o no, esto dependerá de
la política de seguridad de nuestra organización. También cabe destacar que las peticiones que se realizan a la base de
datos no son rechazadas, lo cual nos indica que la base de datos de la aplicación web no está bien configurada. Por
nuestra parte no bloquearíamos la IP perteneciente al ISP, aunque si realiza peticiones de carácter malicioso, sí
bloquearíamos el tráfico entrante a la página hasta que se gestione la correcta configuración de la base de datos para
impedir que una situación así se repita. No se realizaría ningún bloqueo de IPs dado que una de ellas es una IP privada
en la misma subred y la otra IP pertenece a un ISP Suizo y dada la naturaleza de los ISP, asignan sus IPs a diferentes
usuarios dependiendo de la disposición que tengan, no se valora necesario su bloqueo.
Unidad 4
130
Taller 3
7
Unidad 2
131
Actividad 1
Para la realización de este ejercicio práctico tendrás que descargarte el archivo «Ejercicio_2.log»
que encontrarás entre los recursos descargables de la unidad.
• Analiza el log correspondiente al ejercicio 2 de Análisis phishing y determina qué IP se pueden
observar generando tráfico. Indicar si estas IP pueden ser maliciosas y si el tráfico que han
generado es de origen malicioso.
• En el caso de que lo sean indicar por qué el tráfico es malicioso (tipo de ataque o peticiones
sospechosas) e indicar si se debieran bloquear la IP o no.
Unidad 4
132
Taller 3
• Lo primero que se debe hacer es abrir el archivo con GoAccess, para lo cual habrá que modificar el script
añadiendo el fichero correcto, como se ha explicado en el apartado descarga y análisis de logs del taller 2.
Ilustración 101: Comando para ejecución.
Ilustración 100: Abre el archivo .log con GoAccess.
Unidad 4
133
Taller 3
• A continuación, se ejecuta el script de manera que se muestra la información que proporciona GoAccess del
archivo .log sin ningún error. Ahora nos tendremos que fijar, como en otros casos, en las peticiones que están
presentes en el log.
Ilustración 102: Peticiones en el log.
Unidad 4
134
Taller 3
• Estas son las dos IP que puedes observar que han hecho peticiones en el log. Puedes observar también, que una
de ellas la 113.31.114[.]183 ha realizado muchísimas más peticiones que la otra, en concreto, el 91% de las
peticiones son suyas. Analiza ambas IP con motores de análisis como VirusTotal.
Ilustración 103: Análisis de la IP china.

Unidad 4
135
Taller 3
• Puedes observar que la IP que ha hecho la gran mayoría de las peticiones se trata de una IP que tiene
varias detecciones por actividad maliciosa y pertenece a un ISP chino.
Ilustración 104: Análisis de la IP estadounidense.
Unidad 4
136
Taller 3
• La segunda IP no tiene ninguna detección y pertenece a un ISP de Estados Unidos.

• Ahora fíjate en las peticiones realizadas, haciendo hincapié en la IP china dado que la gran mayoría de las
peticiones son realizadas por ella. Para ello utilizaremos el parámetro «-e “IP”» en el script que hemos creado
anteriormente «Go_Access.sh» para excluir una IP. Lo modificaremos de nuevo con el comando nano
Go_Access.sh
Ilustración 105: IP china
Unidad 4
137
Taller 3
• Lanzaremos el Script y GoAccess únicamente analizará las peticiones de la IP China.
Ilustración 106: Análisis de las peticiones de la IP china
Ilustración 107: Peticiones realizadas.
Unidad 4
138
Taller 3
• Podremos observar que la IP china únicamente ha realizado una petición satisfactoria.

• Si ahora te fijas en las peticiones que no han tenido éxito, es decir, las que se encuentran en «4 – URLs no
encontradas (404)» puedes observar que la gran mayoría de las peticiones son denegadas, esto induce a
sospechar que la gran mayoría de las peticiones que se han realizado son de carácter malicioso.
Ilustración 108: Peticiones sin éxito.
Unidad 4
139
Taller 3
• Viendo las páginas a las que se intenta acceder puedes observar que las peticiones son muy genéricas y, en su
gran mayoría, fallidas. Únicamente hay 1 petición exitosa, hacia recursos muy comunes que se encuentran en rutas
sencillas que cualquier sitio web puede tener. Los atacantes intentan acceder a esos recursos probando distintas
rutas no demasiado complejas con el objetivo de acceder a ellos, si se da el caso de que la página web se
encuentra mal configurada; esto da más información de la naturaleza maliciosa de estas peticiones.
• También podrás dirigirte al log, utilizando el comando cat Ejercicio_2.log para mostrar su contenido podrás
observar lo siguiente:
Ilustración 109: Uso del comando cat Ejercicio_2.log
Unidad 4
140
Taller 3
Ilustración 110: Visualización del log.
• Las peticiones que hemos observado antes que tenían carácter malicioso son realizadas por la IP china y se han
realizado de manera masiva.
• Esto lleva a la conclusión de que se ha intentado realizar un ataque DoS desde la IP china con la intención de
deshabilitar nuestra página web dado el volumen de peticiones generadas de manera genérica hacia la página en
un periodo breve de tiempo. Concluimos también que se debe tratar de un ataque DoS debido a que las
peticiones llegan todas desde la misma IP. Las peticiones realizadas desde la otra IP no parecen maliciosas. Con
esta información la única IP que se debería bloquear es la 113.31.114[.]183.
Unidad 4
141
Taller 3
8
Unidad 2
142
Actividad 1
• Analiza el log correspondiente al ejercicio 3 de Análisis phishing y determina qué IP se pueden
observar generando tráfico. Indicar si estas IP pueden ser maliciosas y si el tráfico que han
generado es de origen malicioso.
• En el caso de que lo sean indicar porque el tráfico es malicioso (tipo de ataque o peticiones
Unidad 4
143
Taller 3
• Como en otros casos anteriores, lo primero que debes hacer es abrir el archivo .log con GoAccess y modificar el
script con el archivo correcto para evitar errores y ejecutarlo.
Ilustración 111: Abre el archivo .log con GoAccess.
Ilustración 112: Comando para ejecución.
Unidad 4
144
Taller 3
• Una vez ejecutado GoAccess lo primero en lo que tendrás que fijarte es en las IP que han realizado las peticiones,
información que se encuentra en el apartado «5 – Host e IPs de los Visitantes».
Ilustración 113: IP que han realizado peticiones.
Unidad 4
145
Taller 3
• Puedes observar que todas las peticiones de este log las ha realizado la misma IP, procedemos con el análisis de
esta IP.
Ilustración 114: Análisis de IP alemana.
Unidad 4
146
Taller 3
• La IP no tiene ninguna detección maliciosa y pertenece a un ISP Alemán, lo cual por ahora indicaría que la IP no es
maliciosa. Ahora fíjate en las peticiones que no han dado error que ha realizado, para ello accede al apartado «2 –
Archivos Requeridos (URLs)».
Ilustración 115: Peticiones de la IP.
Unidad 4
147
Taller 3
• Las peticiones que se realizan parecen ser de carácter malicioso a simple vista se observan muchas peticiones de
post y get a rutas genéricas, muy comunes, con el objetivo de buscar vulnerabilidades en el sitio web para poder
explotarlas y realizar un ataque exitoso, algunas de estas rutas genéticas son login.php, ruta genérica de login de la
página y setup.php, ruta genérica de configuración de la página. También hay que tener en cuenta que todas estas
peticiones se están realizando desde la misma IP.
Unidad 4
148
Taller 3
• Ahora consulta las peticiones que no han sido exitosas, es decir, que han intentado acceder a una página que no
existe. Esta información está en el apartado «4 – URLs no encontradas (404)»
Ilustración 116: Peticiones de la IP.
Unidad 4
149
Taller 3
• Vemos que estas peticiones son muy similares a la de las peticiones aceptadas, lo cual hace sospechar que se
puede tratar de un ataque de DoS. Dado el gran volumen de peticiones en este caso exitosas, realizadas en un
breve intervalo de tiempo.
• Ahora fíjate en el contenido del fichero log para tener una idea más general de cuál ha sido la actividad realizada por
la IP. Para abrir el fichero log, al igual que en ejercicios anteriores, deberás ejecutar el comando cat; siendo en este
caso cat Ejercicio_3.log
Ilustración 117: Comando «cat Ejercicio 3.log»
Unidad 4
150
Taller 3
Ilustración 118: Contenido del fichero log.
• Como puedes observar la actividad de la IP consiste en peticiones masivas muy similares, es decir, realizando un
ataque DoS.
Unidad 4
151
Taller 3
• Por lo tanto, determinamos que se trata de un ataque DoS ya que se observan múltiples peticiones a rutas
genéricas de manera masiva en un breve periodo de tiempo con el objetivo de interferir en el correcto
funcionamiento de la página web. La única IP presente en el log sería la única responsable de estas acciones y
seria la IP que marcaremos como IOC y deberíamos valorar para su bloqueo dado que se trata de una IP
perteneciente a un ISP Alemán conocido. Dependerá de la política de seguridad de nuestra empresa valorar el
hecho de bloquear esta IP o no.
Unidad 4
152
Taller 3
9
Unidad 2
153
Actividad 1
• Analiza el log correspondiente al ejercicio 4 y determina qué IP se pueden observar generando
tráfico. Indica si estas IP pueden ser maliciosas y si el tráfico que han generado es de origen
malicioso.
• En el caso de que lo sean indicar porque el tráfico es malicioso (tipo de ataque o peticiones
Unidad 4
154
Taller 3
9.2 Solucionario ejercicio práctico 8
• Lo primero, al igual que en los ejercicios anteriores, es abrir el archivo con GoAccess modificando el script con el
nombre de archivo adecuado para que no aparezcan errores y ejecutar el script, de manera que se abra GoAccess
mostrando la información del log sin errores.
Ilustración 119: Abre el archivo .log con GoAccess. Ilustración 120: Comando para ejecución.
Unidad 4
155
Taller 3
• Lo siguiente que deberás hacer es comprobar las IP que se encuentran en el log y realizar un análisis de estas IP
accediendo al apartado «5 – Host e IPs de los Visitantes».
Ilustración 121: Comprobación de IP.
• Como podemos ver, dos de estas direcciones, la 103.232.200[.]120 y la 1.171.52[.]214 han realizado muchísimos
más accesos que la tercera.
Unidad 4
156
Taller 3
• Procede a realizar el análisis de estas IP.
Unidad 4
157
Taller 3
• La IP 5. 146.135[.]21 no tiene ninguna detección maliciosa y pertenece a un ISP Alemán, lo cual por ahora indicaría
que la IP no es maliciosa.
Unidad 4
158
Taller 3
• La segunda IP, la 1.171.52[.]214, tiene varias detecciones no pertenece a un ISP y se encuentra localizada en
Taiwan.
• La última IP, la 103.232.200[.]120, tampoco tiene detecciones maliciosas y pertenece a un ISP japonés.
Ilustración 124: Análisis de IP japonesa.

Unidad 4
159
Taller 3
• Tras realizar el análisis de las IP fíjate en las peticiones exitosas realizadas por estas IP para ver qué tipo de
peticiones han realizado al servidor. Para ello revisa el apartado «2 – Archivos Requeridos (URLs)»
Ilustración 125: Peticiones realizadas por las IPs.
Unidad 4
160
Taller 3
• Se pueden observar las mismas peticiones de post y get a login.php realizadas que en el ejercicio 3, las cuales has
catalogado como actividad maliciosa. Si te fijas en el log podrás observar que la actividad es realizada por la misma
IP que en el ejercicio 3. También puedes observar otro tipo de peticiones, este tipo de peticiones con «/../» se tratan
de un ataque de directory traversal. Por ello puedes observar a simple vista que las peticiones realizadas son
maliciosas.
• Para observar qué IPs han realizado qué peticiones vamos a excluir IPs del script para visualizar cada IP por
separado. Para ello utilizaremos el parámetro «-e “IP”».
Ilustración 126: Uso del parámetro «-e» para excluir IPs.
Unidad 4
161
Taller 3
Ilustración 127: Peticiones IP 1.171.52.214
Ilustración 128: Peticiones de la IP
Unidad 4
162
Taller 3
• Podremos observar que las peticiones de path traversal attack vienen únicamente de la IP 1.171.52[.]214, la cual
tenía detecciones por actividad maliciosa como hemos visto anteriormente.

Unidad 4
163
Taller 3
• Por otro lado, podremos observar que la IP que pertenece a un ISP Alemán, 5.146.135[.]21, tiene muchas menos
peticiones y son rutas más específicas y que no parecen ser maliciosas, por lo que podríamos descartar que se trata
de actividad maliciosa.

Unidad 4
164
Taller 3
Unidad 4
165
Taller 3
• De la última IP podremos observar que se ha intentado realizar un ataque DoS accediendo, como ya hemos visto
anteriormente, a diferentes rutas genéricas en un breve intervalo de tiempo.
• También podrá dirigirte al mismo archivo de log para identificar cuáles son las IP que han hecho estos ataques y
cuáles no. Lanzaremos el comando cat de la siguiente forma para leer el contenido del fichero cat Ejercicio_4.log
Ilustración 135: Comando «cat Ejercicio_4.log».
Unidad 4
166
Taller 3
Ilustración 136: Archivo log (I).
Unidad 4
Ilustración 137: Archivo log (II). 167
Taller 3
Ilustración 138: Archivo log (III).
• Observaremos que las IPs que sabemos que son con certeza maliciosas y han realizado actividad fraudulenta son la
1.172.52[.]214 y la 103.232.200[.]120
Unidad 4
168
Taller 3
• Por lo tanto, puedes determinar que se trata de un ataque DoS, conjunto con un ataque de directory traversal. Se
tratará de un ataque de DoS por la cantidad de peticiones genéricas que podemos observar igual que en casos
anteriores realizadas por la IP 103.232.200[.]120; así como de un ataque de directory traversal realizado por la IP
1.172.52[.]214 por la forma tan partículas que tiene este tipo de ataque y que hemos podido observar en los logs. En
conclusión, las IPs que deberías marcar como IOCs para su bloqueo son 1.171.52[.]214 y 103.232.200[.]120.
Unidad 4
169
Taller 3
¡GRACIAS!
Unidad 4
Taller
1703

08 Taller 3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

08 Taller 3

Cargado por

Copyright:

Formatos disponibles

CURSO ONLINE DE

1 ANÁLISIS DE CORREO ELECTRÓNICO PHISHING 4

6 EJERCICIO PRÁCTICO 5 116

7 EJERCICIO PRÁCTICO 6 131

8 EJERCICIO PRÁCTICO 7 142

9 EJERCICIO PRÁCTICO 8 153

Duración total del taller: 1 hora y 30 minutos

Nota: cuidado con la descarga y manejo de estos archivos dado

• Veremos el siguiente menú y deberemos arrastrar el fichero a analizar a la zona marcada:

Ilustración 1: Arrastrar el fichero a analizar a «Submit a file for analisis».

Ilustración 2: Seleccionamos fichero y pulsamos «analyze».

Ilustración 3: Página de inicio del análisis con Cuckoo.

• Las diferentes opciones que aparecen son:

 Summary: incluye un resumen general del análisis.

Ilustración 4: Página «Static Analysis > String»

Ilustración 5: Búsqueda del receptor del correo electrónico. Unidad 4

Ilustración 6: Búsqueda de emisor del correo electrónico.

Ilustración 7: Búsqueda del dominio en VirusTotal.

• Como se puede observar en el

Ilustración 9: Búsqueda de la primera IP asociada.

Ilustración 10: Búsqueda de la segunda IP asociada

Ilustración 11: Búsqueda de la primera IP en Scamalytics.

Ilustración 12: Búsqueda de la segunda IP en Scamalytics.

Ilustración 13: Búsqueda de return path.

Ilustración 14: Búsqueda en listas negras.

• Como puede observarse el dominio

Ilustración 16: Búsqueda de URL.

Ilustración 17: Búsqueda de la URL en VirusTotal.

• Tal y como puede observarse, esta

Ilustración 18: Búsqueda del dominio en VirusTotal

Ilustración 19: Pestaña «Details» del dominio.

• Ahora busca esa IP asociada en la misma herramienta. Conseguirás la siguiente información:

Ilustración 20: Análisis de IP 162.241.158[.]186

• Como se puede ver en el análisis de la

Ilustración 22: Análisis de la URL mediante browserling.

• Tal y como ya apareció con herramientas anteriores la página ya no existe.

Analiza el siguiente correo electrónico e indica cuáles serían los

Ilustración 23: Búsqueda From.

Ilustración 24: Búsqueda Return path.

• Puedes ver que ambas cabeceras coinciden.

Ilustración 26: Resultados del análisis en VirusTotal.

Ilustración 27: Análisis de IP.

• Ahora fíjate en la URL que presentaba

Ilustración 28: Búsqueda de «href».

Ilustración 29: URL maliciosa. Ilustración 30: Página de descarga caída.

• Con esto no podríamos afirmar que

Ilustración 32: Detecciones del dominio.

Analiza el siguiente correo electrónico proporcionado e indica si se trata

• Observa la cabecera, el From y Return-Path no

Ilustración 34: Búsqueda de URL.

• En realidad, solo hay 4 URL reales en el correo

Ilustración 35: Análisis de URL.

Ilustración 36: Análisis de URL. Ilustración 37: Análisis de URL.

Ilustración 38: Análisis de URL. Ilustración 39: Análisis de URL.

• Realiza un análisis del siguiente correo electrónico e indica si se

• Busca el receptor del correo electrónico.

Ilustración 40: Búsqueda del receptor del correo electrónico.

• Como se puede observar, el receptor del correo electrónico es: «polymers-vienna@sibur-int.com».

Ilustración 41: Búsqueda del emisor del correo electrónico.

• Como se puede observar, el emisor del correo electrónico es: «info@101logix.com».

Ilustración 42: Análisis del dominio con VirusTotal.

Ilustración 43: Búsqueda de dominio en listas negras.

• Como puede observarse este dominio no se encuentra en ninguna lista negra.

Ilustración 44: Análisis de la IP asociada con VirusTotal.