La charla se dividía en dos partes; la primera sobre APT (Avanced Persistent Threats, nada que ver con la herramienta Linux) y la segundas sobre NSM (Network Security Monitoring).
Personalmente me ha gustado gratamente la charla sobre NSM, quizás porque tenía muy visto los ataques APT, dada la moda de este tipo de ataques y el boom de textos sobre este tema, tras los ataques a Google y otras empresas, sufridos supuestamente por China.
Bueno a lo que vamos.
En la jornada se vió un pequeño ejemplo sobre un reto realizado por el SANS, en concreto el siguiente: http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim.
En este reto nos dan un preludio y un fichero pcap con las tramas que nos interesan.
En este caso se trata de una empresa que cree que uno de sus empleados les ha robado su receta secreta. Además han detectado un acceso extraño por su red WiFi. Tu objetivo es resolver las siguientes preguntas:
1. ¿Cuál es el nombre del compañero de Ana de mensajería instantánea?
2. ¿Cuál fue el primer comentario en la conversación de mensajería instantánea capturada?
3. ¿Cuál es el nombre del archivo transferido Ann?
4. ¿Cuál es el número mágico del archivo que desea extraer (los cuatro primeros bytes)?
5. ¿Cuál fue la suma md5 del archivo?
6. ¿Cuál es la receta secreta?
Para realizar la primera parte de este ejercicio vamos a usar Wireshark.
Como sabemos la IP del implicado es 192.168.1.158. Podemos filtar para solo ver el contenido relacionado con el implicado (Filtro [ip.addr == 192.168.1.158]). Si seguimos el flujo de la primera traza TCP podemos ver la (Filtro [tcp.stream eq 2]) conversación. Esto nos resuelve varias dudas.
: Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
: recipe.docx
Sec558user1: thanks dude
Sec558user1: can't wait to sell it on ebay
: see you in hawaii!
Con esta conversación ya savemos varias cosas.
1. Sec558user1
2. Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
3. recipe.docx
Para responder a la cuarta pregunta tendremos que buscar cual es el número mágico de los ficheros docx.
4. 0x50 0x4B 0x03 0x04 en ASCII "PK"
Para obtener el fichero vamos a usar NetworkMiner.
5. 8350582774e1d4dbe1d61d64c89e0ea1
6. El contenido de la receta secreta os lo dejo averiguar a ustedes.
Me alegro que te haya gustado la charla!
ResponderEliminarUn abrazo
Ismael.