miércoles, 26 de julio de 2017

EJERCICIO DE ANÁLISIS DE TRÁFICO 1 | Infección en la oficina de Japón.

Infección en la oficina de Japón



En este post un tanto distinto a los demás. Realizaremos un ejercicio de análisis de trafico proporcionado por Malware Traffic Analysis, quien nos proporciona un archivo .pcap entre otros, los cuales nos permiten llevar acabo nuestro ejercicio.

En nuestro caso realizaremos el ejercicio de nombre "Infección en la oficina de Japón"

-----------------------------------
-----------------------------------


En este caso la pagina nos otorga 2 archivos en formato .zip. Uno es el archivo .pcap y el otro contiene 2 archivos .txt que contienen las alertas de Snort y Suricata, evidentemente debemos descargar ambos para este caso.


Resumiendo nuestro caso, en la fecha 27-06-2017 una computadora de una empresa japonesa se infecto con un malware, nuestro trabajo es tomar el rol de analista forense.

Debemos de analizar los archivos y obtener la siguiente información:

  • ¿Cuál es la dirección MAC, la dirección IP y el nombre de host del equipo Windows infectado?
  • ¿Cuál es la fecha y la hora (en UTC) que el equipo estaba infectado?
  • Basado en las alertas de Snort y Suricata, ¿con qué se infectó el equipo?
  • Con base en los indicadores de la primera solicitud HTTP GET, determine cómo se infectó el equipo.
  • Basado en la respuesta anterior, ¿cuál es el hash SHA256 para el archivo que probablemente infectó el equipo?
  • El pcap contiene 3 archivos ejecutables de Windows enviados a través de HTTP. 
  • Exportarlos desde el pcap. ¿Cuáles son los hashes del archivo SHA256 de esos 3 archivos?
Para obtener la informacion principal que es la MAC, IP y HOSTNAME de nuestro equipo, analizaremos nuestro archivo .pcap utilizando nuestra herramienta WireShark.


Ya tenemos lo primero:

MAC: 00:15:c5:de:c7:3b
IP: 192.168.1.96
NAME_HOST:FlashGordon-PC

Continuando, nos solicitan saber la fecha en que el equipo ha sido infectado. Para eso analizaremos las alertas de Snort o Suricata.

La Fecha de infección es: 2017-06-27 13:44

Suricata
Ahora nos piden saber, con que se infecto nuestro sistema. Para eso podemos analizar las alertas de Snort.

Snort

El sistema fue infectado con "Win.Trojan.Pushdo variant".

Continuando con nuestro analisis, nos solicitan que con base a la primer solicitud HTTP GET determinemos como fue que se infecto el sistema. Para esto regresamos a nuestro archivo .pcap en la primer solicitud HTTP GET.


  
Nada difícil de encontrar, "http://matied.com/gerv.gun" para poder determinar como fue que se dio la infección, podemos buscar un poco en Google.

Buscando un poco en Google, Norton nos ofrece esta informacion




Despues de buscar ne muy pocas paginas, di con una pagina la cual reporta una actividad masiva de spam, la cual concuerda con nuestras fechas.


La campaña de spam consistia en mandar un correo electronico el cual contenia adjunto un archivo .zip con el malware.



Con esta información se determina que el sistema fue infectado por medio de una campaña de Spam, de la cual nuestro usuario fue victima.

Correo Electrónico Malicioso (SPAM)

Continuando, ahora nos solicitan el hash SHA256 del archivo, que probablemente infecto al equipo, para eso, en la misma pagina en donde saque la información tenemos las muestras ya subidas a VirusTotal, de donde podemos sacar el hash solicitado.



Los hash SHA256 de los archivos son:

DOC0978043-2017.6.doc.js
64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f

2017-547805549-231.pdf.js
59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702


Ahora nos indican que en el archivo .pcap contiene 3 ejecutables .exe los cuales deben de ser exportados y posteriormente obtener sus hash SHA526 respectivamente.




Utilizamos VirusTotal



NO PUEDE EXTRAER EL ARCHIVO ger,gun

En resumen tenemos lo siguiente:

IP, MAC y HostName del equipo infectado:

MAC: 00:15:c5:de:c7:3b
IP: 192.168.1.96
NAME_HOST:FlashGordon-PC


Fecha y hora en la que se infecto el sistema:

2017-06-27 13:44 utc

Basado en las alertas de Snort y Suricata, ¿con qué se infectó el equipo?
Win.Trojan.Pushdo variant

Con base en los indicadores de la primera solicitud HTTP GET, determine cómo se infectó el equipo.

El equipo se infecto, con un troyano procedente de una campaña de spam
matied.com/gerv.gun

Basado en la respuesta anterior, ¿cuál es el hash SHA256 para el archivo que probablemente infectó el equipo?

DOC0978043-2017.6.doc.js
64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f
2017-547805549-231.pdf.js
59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702


El pcap contiene 3 archivos ejecutables de Windows enviados a través de HTTP. Exportarlos desde el pcap. ¿Cuáles son los hashes del archivo SHA256 de esos 3 archivos?

gerv.gun - SHA256 hash:
0931537889c35226d00ed26962ecacb140521394279eb2ade7e9d2afcf1a7272
wp.exe - SHA256 hash:
79d503165d32176842fe386d96c04fb70f6ce1c8a485837957849297e625ea48
trow.exe - SHA256 hash:
94a0a09ee6a21526ac34d41eabf4ba603e9a30c26e6a1dc072ff45749dfb1fe1


Te recomiendo leer el post de Gf0s en donde también realiza un ejercicio similar:




----- [ LINKs ] -----

Informe de Norton sobre "matied.com"
https://safeweb.norton.com/report/show_mobile?name=matied.com&ulang=esl

Post sobre la campaña de spam
https://myonlinesecurity.co.uk/japanese-language-invoice-malspam-using-js-files-inside-zips-today/

DOC0978043-2017.6.doc.js (VirusTotal)
https://www.virustotal.com/en/file/64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f/analysis/1498539514/

2017-547805549-231.pdf.js (VirusTotal)
https://www.virustotal.com/en/file/59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702/analysis/1498539649/

trow.exe (VirusTotal)
https://www.virustotal.com/en/file/94a0a09ee6a21526ac34d41eabf4ba603e9a30c26e6a1dc072ff45749dfb1fe1/analysis/

wp.exe (VirusTotal)
https://www.virustotal.com/en/file/79d503165d32176842fe386d96c04fb70f6ce1c8a485837957849297e625ea48/analysis/

0 comentarios:

Publicar un comentario