Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 27.2.12 Lab - Interpret HTTP and DNS Data To Isolate Threat Actor - ILM

    Cargado por

    Jhanssel Holguin
    14 vistas10 páginas
    Este documento describe una práctica de laboratorio para analizar registros de HTTP y DNS durante un ataque de inyección SQL y exfiltración de datos. Los estudiantes usarán Kibana para investigar una vulnerabilidad en junio de 2020 donde se accedió a información confidencial almacenada en un servidor web desde la dirección IP 209.165.200.227. Parece que se exfiltraron nombres de usuario, contraseñas y firmas a través de una solicitud HTTP.

    Descripción original:

    Título original

    27.2.12 Lab - Interpret HTTP and DNS Data to Isolate Threat Actor - ILM

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe una práctica de laboratorio para analizar registros de HTTP y DNS durante un ataque de inyección SQL y exfiltración de datos. Los estudiantes usarán Kibana para investigar una vulnerabilidad en junio de 2020 donde se accedió a información confidencial almacenada en un servidor web desde la dirección IP 209.165.200.227. Parece que se exfiltraron nombres de usuario, contraseñas y firmas a través de una solicitud HTTP.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    14 vistas10 páginas

    27.2.12 Lab - Interpret HTTP and DNS Data To Isolate Threat Actor - ILM

    Cargado por

    Jhanssel Holguin
    Este documento describe una práctica de laboratorio para analizar registros de HTTP y DNS durante un ataque de inyección SQL y exfiltración de datos. Los estudiantes usarán Kibana para investigar una vulnerabilidad en junio de 2020 donde se accedió a información confidencial almacenada en un servidor web desde la dirección IP 209.165.200.227. Parece que se exfiltraron nombres de usuario, contraseñas y firmas a través de una solicitud HTTP.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la

    (versión para el instructor)


    Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece
    solo en la copia del instructor.

    Objetivos
    En esta práctica de laboratorio, analizará registros durante un explotamiento malicioso de vulnerabilidades
    HTTP y DNS documentadas.
    Parte 1: Investigar un ataque de Inyección SQL
    Parte 2: Investigar la exfiltración de datos DNS

    Antecedentes / Escenario
    MySQL es una base de datos popular que utilizan numerosas aplicaciones web. Desafortunadamente, la
    Inyección SQL es una técnica de hacking web común. Es una técnica de inyección de código en la que un
    atacante ejecuta comandos SQL maliciosos para controlar el servidor de bases de datos de una
    aplicación web.
    Los servidores de nombres de dominio (Domain Name Servers, DNS) son directorios de nombres de dominio
    y traducen los nombres de dominio a direcciones IP. Este servicio puede utilizarse para exfiltrar datos.
    El personal de ciberseguridad ha determinado que una vulnerabilidad ha ocurrido, y los datos que contienen
    PII pueden haber estado expuestos a agentes de amenazas En este laboratorio, utilizará Kibana para
    investigar las vulnerabilidades para determinar los datos que se exfiltraron utilizando HTTP y DNS durante
    los ataques.

    Recursos necesarios
     Máquina virtual de Security Onion

    Instrucciones

    Parte 1: Investigar un ataque de Inyección SQL


    En esta parte, investigará una vulnerabilidad en el que se realizó acceso no autorizado a la información
    confidencial que se almacena en un servidor web. Utilizará Kibana para determinar el origen del ataque y la
    información a la que accede el atacante.

    Paso 1: Cambiar el plazo


    Se ha determinado que la vulnerabilidad ocurrió en algún momento durante el mes de junio de 2020. Kibana
    muestra los datos de forma predeterminada durante las últimas 24 horas. Tendrá que cambiar la
    configuración de la hora para ver los datos del mes de junio de 2020.
    a. Inicie sesión en Security Onion con el nombre de usuario “analyst”, y la contraseña “CyberOPS”.
    b. Introduzca el comando sudo so-status para comprobar el estado de los servicios. El estado de todos los
    servicios debe estar OK antes de iniciar el análisis. Esto podría demorar unos minutos.
    analyst@SecOnion:~$ sudo so-status
    Status: securityonion
    * sguil server [ OK ]

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    Status: seconion-import
    * pcap_agent (sguil) [ OK ]
    * snort_agent-1 (sguil) [ OK ]
    * barnyard2-1 (spooler, unified2 format) [ OK ]
    Status: Elastic stack
    * so-elasticsearch [ OK ]
    * so-logstash [ OK ]
    * so-kibana [ OK ]
    * so-freqserver [ OK ]

    c. Después de iniciar sesión, abra Kibana usando el acceso directo en el escritorio. Inicie sesión con el
    nombre de usuario analyst y la contraseña cyberops.
    En Security Onion, Kibana tiene muchos tableros y visualizaciones precompilados para monitoreo y
    análisis. También puede crear sus propios paneles y visualizaciones personalizados que se adapten a la
    supervisión de su entorno de red en particular. Nota: Es posible que el panel de control no tenga ningún
    resultado en las últimas 24 horas.
    d. En la esquina superior derecha de la ventana, haga clic en Last 24 hours en para cambiar el tamaño del
    intervalo de tiempo de la muestra. Expanda el intervalo de tiempo para incluir las alertas interesantes. Un
    ataque de inyección SQL tuvo lugar en junio de 2020, por lo que es lo que necesita revisar. Seleccione
    Absolute en Intervalo de tiempo y edite las horas Desde y Hasta para incluir todo el mes de junio de
    2020. Haga clic en Go para continuar.

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    e. Observe el número total de registros para todo el mes de junio de 2020. El panel debe ser similar al que
    se muestra en la figura. Tómese un momento para explorar la información proporcionada por la interfaz
    de Kibana.

    Paso 2: Filtrar para el tráfico HTTP.


    a. Dado que el atacante evaluó los datos almacenados en un servidor web, el filtro HTTP se utiliza para
    seleccionar los registros asociados con el tráfico HTTP. Seleccione HTTP bajo el encabezado Zeek
    Hunting, como se muestra en la figura.

    Preguntas:

    Revise los resultados y responda las siguientes preguntas:


    ¿Cuál es la dirección IP de origen?
    La dirección IP de origen es 209.165.200.227

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    ¿Cuál es la dirección IP de destino?


    La dirección IP de destino es 209.165.200.235.

    ¿Cuál es el número de puerto de destino?


    80 es el puerto de destino.

    b. Desplácese hasta la sección HTTP. El resultado muestra los 10 primeros resultados.


    c. Expanda los detalles del primer resultado haciendo clic en la flecha que se encuentra junto a la marca de
    tiempo de entrada de registro. Tenga en cuenta la información disponible.
    Preguntas:

    ¿Cuál es la marca de tiempo del primer resultado?


    La marca de tiempo es 12 de junio 2020, 21:30:09.445.

    ¿Cuál es el tipo de evento?


    El tipo de evento es bro_http. Tenga en cuenta que Kibana todavía se refiere a Zeek usando su
    antiguo nombre de Bro.

    ¿Qué se incluye en el campo de mensaje? Estos son detalles sobre la solicitud HTTP GET que realizó el
    cliente al servidor. Enfocado especialmente en el uri field en el mensaje de texto.
    El mensaje incluye el nombre de usuario, el ccid, el ccnumber, el ccv, la expiración, y la
    contraseña.

    ¿Qué es importante sobre esta información?


    Parece ser una solicitud de información de tarjeta de crédito.

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    Paso 3: Revise los resultados


    a. Parte de la información de las entradas de registro se enlaza a otras herramientas. Haga clic en el valor
    del campo de _id de alertas de la entrada de registro para obtener una vista diferente del evento.

    b. El resultado se abre en una nueva pestaña del navegador web con información de capME!. La pestaña
    capME! es una interfaz web que le permite ver una transcripción pcap. El texto azul contiene solicitudes
    HTTP que se envían desde el origen (SRC). El texto rojo son respuestas del servidor web de destino
    (DST).
    c. En la sección entrada de registro, que está al principio de la transcripción, observe la parte
    username='+union+select+ccid,ccnumber,ccv,expiration,null+from+credit_cards+--+&password=
    indica que alguien puede haber intentado atacar el explorador web mediante la inyección SQL para omitir
    la autenticación. Las palabras claves, union and select, son comandos que se utilizan en la búsqueda
    de información en una base de datos SQL. Si los cuadros de entrada de una página web no están
    protegidos correctamente contra la entrada ilegal, los atacantes pueden insertar cadenas de búsqueda
    SQL u otro código que pueda tener acceso a los datos contenidos en las bases de datos vinculadas a la
    página web.

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    d. Busque el nombre de username de la palabra clave en la transcripción. Utilice Ctrl-F para abrir un
    cuadro de búsqueda. Utilice el botón de flecha hacia abajo en el cuadro de búsqueda para desplazarse
    por las apariciones que se encontraron.

    Puede ver dónde se utilizó el término nombre de usuario en la interfaz web que se muestra al usuario.
    Sin embargo, si miramos más abajo, se puede encontrar algo inusual.
    Pregunta:

    ¿Qué puede ver más adelante en la transcripción en cuanto a nombres de usuario?


    Parece haber una lista de nombres de usuario y contraseñas que forman parte de la información
    que se devolvió en respuesta a la solicitud HTTP GET. Esto es inusual.

    Pregunta:

    Dé algunos ejemplos de un nombre de usuario, contraseña y firma que se exfiltró.


    Nombre de usuario Contraseña Firma
    4444111122223333 745 2012-03-01
    7746536337776330 722 2015-04-01
    8242325748474749 461 2016-03-01
    7725653200487633 230 2017-06-01
    1234567812345678627 627 2018-11-01
    e. Cierre la pestaña decapME! y vuelva a Kibana

    Parte 2: Analice la exfiltración de DNS.


    Un administrador de red ha notado consultas DNS anormalmente largas con subdominios de aspecto
    extraño. Su trabajo es investigar la anormalidad.

    Paso 1: Filtro para tráfico DNS


    a. En la parte superior del panel de Kibana, borre los filtros y los términos de búsqueda y haga clic en
    Home en la sección Navegación del panel. El periodo de tiempo todavía debe incluir junio 2020.

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 6 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    b. En la misma área del panel, haga clic en DNS en la sección Zeek Hunting. Observe las métricas de
    recuento de registros DNS y el gráfico de barras horizontales de puerto de destino.

    Paso 2: Revise las entradas relacionadas con DNS.


    a. Despliegue la ventana. Puede ver los principales tipos de consultas DNS. Es posible que vea registros de
    direcciones (un registro), registros Quad A de direcciones IPv6 (AAAA), registros NetBIOS (NB) y
    registros de puntero para resolver los nombres de host (PTR). También puede ver los códigos de
    respuesta DNS.
    b. Al desplazarse más hacia abajo, puede ver una lista de los principales clientes DNS y servidores DNS en
    función de sus recuentos de solicitudes y respuestas. También hay una métrica para el número de
    intentos de phishing DNS, que también se conocen como DNS pharming, suplantación de identidad o
    envenenamiento.

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 7 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    c. Desplazando más abajo por la ventana se puede ver una lista de las principales consultas DNS por
    nombre de dominio. Observe cómo algunas de las consultas tienen subdominios inusualmente largos
    asociados a ns.example.com. El example.com de dominio debe investigarse más a fondo

    d. Desplácese hacia atrás hasta la parte superior de la ventana e introduzca example.com en la barra de
    búsqueda para filtrar example.com y haga clic en Update. Tenga en cuenta que el número de entradas
    en el recuento de registros es menor porque la visualización ahora está limitada a las solicitudes al
    servidor example.com

    e. Busque información sobre el DNS - Cliente y DNS - Servidor.


    Pregunta:

    Registre las direcciones IP del cliente y servidor DNS


    El cliente es 192.168.0.11 y el servidor es 209.165.200.235.

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 8 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    Paso 3: Determine los datos exfiltrados.


    a. Continúe desplazándose más hacia abajo para ver cuatro entradas de registro únicas para las consultas
    DNS a example.com. Observe cómo algunas de las consultas tienen subdominios inusualmente largos
    asociados a ns.example.com. Las cadenas largas de números y letras en los subdominios parecen texto
    codificado en hexadecimal (0-9, a-f) en lugar de nombres de subdominios legítimos. Haga clic en el
    enlace de descarga Export: Raw para descargar las consultas en un archivo externo. Un archivo CSV
    es descargado a la carpeta /home/analyst/Downloads

    b. Navegue a la carpeta /home/analyst/Downloads. Abra el archivo con un editor de texto como Notepad.
    Edite el archivo eliminando el texto que rodea la parte hexadecimal de los subdominios, dejando solo los
    caracteres hexadecimales. Asegúrese de eliminar las comillas también. El contenido de su archivo debe
    de verse como la información que se muestra abajo. Guarde el archivo de texto editado con el nombre de
    archivo original.
    434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053
    484152450a5468697320646f63756d656e7420636f6e7461696e7320696e
    666f726d6174696f6e2061626f757420746865206c617374207365637572
    697479206272656163682e0a

    c. En la terminal, use el comando xxd para decodificar en el archivo CSV y guardelo como un archivo
    llamado secret.txt. Utilice cat para enviar el contenido de secret.txt a la consola.
    analyst@SecOnion:~/Downloads$ xxd -r -p "DNS - Queries.csv” > secret.txt
    analyst@SecOnion:~/$ cat secret.txt
    Pregunta:

    ¿Fueron los subdominios de los subdominios de consulta DNS? Si no, ¿Cuál es el texto?
    Escriba sus respuestas aquí.

    CONFIDENTIAL DOCUMENT
    NO COMPARTIR
    Este documento contiene información sobre la última brecha de seguridad.
    ¿Qué implica este resultado sobre esta respuesta DNS en particular? ¿Cuál es el mayor significado?

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 9 de 10
    www.netacad.com
    Práctica de laboratorio: Interpretar datos HTTP y DNS para aislar al actor de la amenaza

    Escriba sus respuestas aquí.

    El resultado indica que la respuesta DNS estaban separadas, solicitudes coordinadas que
    contengan contenido oculto. La mayor importancia del resultado es que las consultas DNS
    podrían utilizarse para ocultar el envío de archivos y omitir la seguridad de la red.
    ¿Qué puede haber creado estas consultas DNS codificadas y por qué se seleccionó DNS como los
    medios para exfiltrar datos?.
    Escriba sus respuestas aquí.

    Es posible que el malware tenga que crear estas solicitudes recorriendo los documentos en el
    host y codificando su contenido en hexadecimal y luego creando consultas DNS que utilizan las
    cadenas hexadecimales como subdominios DNS. Las solicitudes DNS se envían muy
    comúnmente fuera de una red a Internet, por lo que es posible que las solicitudes DNS no se
    supervisen.
    Fin del documento

     2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 10 de 10
    www.netacad.com

    También podría gustarte