Forensic Challenge 2010 – Segundo desafío forense (1 de 3)
- Los clientes parecen máquinas virtuales, ya que cada uno tiene su propia subred pero comparten el nombre, un servidor DNS (una sóla dirección MAC, múltiples IPs por subred) y un servidor DHCP (en una red diferente).
- Los dos sitios y el de distribución de malware residen en la misma subred privada. Esto no es un escenario real.
- El sitio #1 es, probablemente, una falsificación del famoso sitio rapidshare.com.
- El sitio #2 es una web de comercio electrónico.
3. Enumera las páginas web. Enumera aquellas páginas visitadas que sospechosas de contener código javascript malicioso y quién está conectado a ellas. Describe brevemente la naturaleza de las páginas web maliciosas.
Aquí tenemos también un extenso trabajo. Utilizamos WireShark y extraemos la siguiente información:
|
Página web |
Páginas accedidas |
Accedidas port |
|
rapidshare.com.eyu32.ru |
/login.php |
Cliente #1; Cliente #2 (dos veces) |
|
shop.honeynet.sg |
/catalog/ |
Cliente #3 |
|
sploitme.com.cn |
/?click=3feb5a6b2f /?click=84c090bd86 /fg/directshow.php /fg/load.php?e=1 /fg/load.php?e=3 /fg/show.php /fg/show.php?s=3feb5a6b2f /fg/show.php?s=84c090bd86 |
Cliente #1; Cliente #2 (dos veces) Cliente #3 Clienet #3 Cliente #2 (dos veces); Cliente #3 (dos veces) Cliente #3 Cliente #4 Cliente #1; Cliente #2 (dos veces) Cliente #3 |
|
www.honeynet.org |
/ |
Cliente #2; Cliente #3 (dos veces) |
|
www.google-analytics.com |
/__utm.gif?utmwv=4.6.5&utmn=1731245256&… |
Cliente #2; Cliente #3 (dos veces) |
|
www.google.com |
/ |
Cliente #2 |
|
www.google.fr |
/ /csi?v=3&s=webhp&action=&… |
Cliente #2 Cliente #2 |
|
clients1.google.fr |
/generate_204 |
Cliente #2 |
Podemos dividir las páginas en tres grandes grupos:
- Sitios web hackeados con código Javascript, por ejemplo rapidshare.com.eyu32.ru/login.php
- Páginas web con ataques activos, que detectan el navegador del visitante y usan la geolocalización para determinar si realizar un ataque y qué tipo de ataque, por ejemplo sploitme.com.cn/fg/show.php?s=3feb5a6b2f
- Páginas "de inicio": por ejemplo, la página sploitme.com.cn/, que hace una redirección de una cabecera 302, o la página sploitme.com.cn/fg/load.php, que utiliza un ejecutable malicioso seleccionado a través del parámetro 'e' de la URL.
Explicación:Como vimos en el primer desafío forense, podemos utilizar la opción "Follow TCP Stream" de WireShark para seguir una petición determinada y observar qué ha sucedido en ella. Por ejemplo, a partir de la trama 178 podemos catalogar esta petición en la tercera categoría anterior, ya que se produce la descarga del ejecutable "video.exe".
Captura 4
Comparte este artículo
Comentarios (0)