1 FUNDACIÓN UNIVERSITARIA COMPENSAR MENJURA BRIAN ANDRES PEDRAZA FREDY ANDRES MATEUS JOSE LUIS SEGURIDAD DE LA INFORMACIÓN PROFESOR: CARLOS ANDRES CABRERA CASTILLO FECHA DE ENTREGA: 12 DE SEPTIEMBRE DE 2023 2 RESUMEN El presente informe pretende mostrar el contenido del desarrollo de las 3 guías, sobre el uso del Nmap, ya que es un código abierto que se utiliza para la detección de redes y auditoria de seguridad. Ya que hoy en días los administradores utilizan el asignador de red para monitorear los hosts correspondientes y administrar programas de actualización de servicios, hay que mencionar que el Nmap determina que los hosts están disponibles en una red y también se puede validar que programas se están ejecutando, como sistemas operativos, paquetes de firewalls. Se debe usar porque ayuda a mapear rápidamente una red sin comandos ni configuraciones sofisticados. También admite comandos y secuencias de comandos complejas a través del motor de secuencias de comandos Nmap, lo cual esta práctica se ejecutó en una máquina virtual en virtual box con una imagen ISO de cyberops Workstation, ejecutando varios comandos en la terminal validando su respectiva función y características. Los otros dos desarrollos fue hacer un análisis profundo de algunas clases de malware, como determinar su clasificación, la severidad de la amenaza, los focos de ataque, alertas IDS y tipos de solicitudes realizadas, esta práctica se ejecutó en virtual BOX, con la imagen ISO de security Onion, donde se ejecutaron varios procesos en el aplicativo Kibana y Sguil Con todo esto dicho se pretende mostrar el contenido de la investigación sobre los ataques más comunes en internet, como también mostrar cuales son las posibles amenazas que existen dentro de un sistema de redes de comunicación, un sistema informático, una aplicación o una página web, cuáles son las vulnerabilidades encontradas en ellos. Abstract Cabe de mencionar que este contenido de este informe ha sido un resumen de lo más común que se puede dar en internet en cuanto a sus ataques a nivel de localhost en máquinas virtuales. A continuación, se presentan los objetivos de esta investigación como también algunas definiciones de 3 algunos elementos usados comúnmente en internet para atacar ya sea un sistema o una aplicación como tal dentro de lo que hoy en día se ha vuelto tan popular como son las redes y el internet. OBJETIVOS GENERALES Utilizar Nmap, un escáner de puertos y una herramienta de asignación de red para detectar amenazas y vulnerabilidades en un sistema Identificar formas de análisis referente a las amenazas, riesgos y vulnerabilidades en relación con los posibles Malware en una red de telecomunicaciones. Identificar formas de análisis referente a las amenazas, riesgos y vulnerabilidades en relación con los posibles Malware en una red de telecomunicaciones. OBJETIVOS ESPECIFICOS Identificar las amenazas provenientes de algún tipo de Malware. Identificar vulnerabilidades de la red Identificar las amenazas provenientes de algún tipo de Malware. Reconocer el malware detectado, el riesgo de impacto Comprobar alertas IDS. INTRODUCCIÓN En la actualidad siempre ha existido la evolución, donde ha servido y debe servir para mejorar el nivel de vida de la humanidad, tanto espiritual, tecnológica y en las comunicaciones. Donde el hombre, por naturaleza necesita interactuar con las demás personas, para así intercambiar ideas, pensamientos, estrategias o documentos que sean de utilidad a un individuo, un grupo o una organización. Esto se resume a lo que es la información, la seguridad, el análisis, las vulnerabilidades, las amenazas, los riesgos y las alertas. Cuando la información es privada siempre existe la preocupación de que alguien pueda robarla, utilizándola para fines lucrativos para sí mismo o para perjudicar a sus víctimas, es por eso por lo que se debe buscar la seguridad en el traslado de la información. Esta seguridad no es más que tomar medidas preventivas, para evitar en su mayor totalidad de la intromisión de terceros no autorizados a la documentación. 4 Este trabajo se enfoca en la seguridad en redes en las computadoras, validando como su nombre lo dice, vulnerabilidades en la seguridad, malware ya que en las organizaciones pueden confiar que su información valiosa, puede estar protegida ante distintas amenazas. Hay que mencionar que la seguridad en redes se da en dos tipos: física y lógica. En la primera, se debe estar atento y tomar medidas preventivas como son los desastres naturales, inundaciones, terremotos, incendios, así, como también de las instalaciones eléctricas, etc. En la segunda se debe tener cuidado con aquellas personas que no están autorizadas para el acceso de la información, y es ahí donde entran los piratas informáticos, un ejemplo de ellos son los hackers, crackers, etc. Que buscan algo que les interesa y después puedan poseerlo, o también para probarse a sí mismos hasta donde pueden llegar, aprovechándose de las vulnerabilidades de la víctima, como por ejemplo de los sistemas operativos o de la ingenuidad de los trabajadores al recibir archivos desconocidos y abrirlos, infectando el sistema por medio de virus u otra especie de herramientas. Es por eso por lo que se deben tener medidas preventivas para combatir estos ilícitos, ya sea con políticas de seguridad de la organización, de herramientas de seguridad para los sistemas operativos que son gratis algunas, donde uno puede hacer el análisis profundo y determinar que tipo de amenazas tienen los equipos, por eso es que se realizó varias practicas y procedimientos en las guías con 2 máquinas virtuales donde se pudo ejecutar varios comandos y abrir 2 aplicaciones para detección de Malware para así tener una buena seguridad y tener conocimiento sobre el funcionamiento y conceptos. La seguridad no se da en toda su totalidad, pero, si se puede tener en su mayoría, ya que, para una persona muy capaz, siempre habrá otra que este por arriba de ella. Haciendo que esto sea un ciclo de nunca acabar, porque no existe una conciencia social, algunos para atacar y otros que hacen un monopolio para aprovecharse de los demás con sus productos. MATERIALES Portátil. Cargador. Internet-Wifi. VM virtual box. Security Onion. Cyberops Workstation. MARCO TEORICO -MALWARE: Es un término que abarca cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable. Los delincuentes cibernéticos generalmente lo usan para extraer datos que pueden utilizar como chantaje hacia las víctimas para obtener ganancias financieras. Dichos datos pueden variar desde datos financieros, hasta registros de atención médica, correos electrónicos personales y contraseñas. La variedad de información que puede verse comprometida se ha vuelto ilimitada. -ATAQUE: Un ataque informático es una acción perjudicial para los sistemas (ordenadores, redes informáticas y otros dispositivos electrónicos) de las empresas o de los particulares. Estos sistemas 5 son vulnerables ante ataques informáticos. Por ello, es importante que conozcas qué tipos de ataques informáticos existen y cómo enfrentarnos a ellos. -ALERTAS IDS: Es un sistema de supervisión que detecta actividades sospechosas y genera alertas al detectarlas. Según estas alertas, un analista de un centro de operaciones de seguridad (Security Operations Center, SOC) o un responsable de respuesta a incidentes puede investigar el problema y tomar las medidas adecuadas para corregir la amenaza. -VULNERABILIDAD: Es una debilidad existente en un sistema que puede ser utilizada por una persona malintencionada para comprometer su seguridad. Las vulnerabilidades pueden ser de varios tipos, pueden ser de tipo hardware, software, procedimentales o humanas y pueden ser explotadas o utilizadas por intrusos o atacantes. -SGUIL: Sguil (pronunciado sgweel o squeal) es una colección de componentes de software gratuitos para monitoreo de seguridad de red (NSM) y análisis impulsado por eventos de alertas IDS. El cliente sguil está escrito en Tcl/Tk y puede ejecutarse en cualquier sistema operativo que los admita. Sguil integra datos de alerta de Snort, datos de sesión de SANCP y datos de contenido completo de una segunda instancia de Snort que se ejecuta en modo de registro de paquetes. Sguil es una implementación de un sistema de monitoreo de seguridad de red. NSM se define como "recopilación, análisis y escalamiento de indicaciones y advertencias para detectar y responder a intrusiones". - Wireshark: Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para análisis de datos y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca. La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark. Permite examinar datos o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP. -SECURIY ONION: Security Onion es una distribución de Linux diseñada para la detección de amenazas de seguridad en la infraestructura de la empresa. Se basa en una combinación de herramientas de seguridad, como Snort, Suricata, Zeek, Wazuh, Elasticsearch y Kibana, para recolectar y analizar datos y detectar amenazas avanzadas. Security Onion funciona como un sistema de detección de intrusiones (IDS) y un sistema de gestión de eventos de seguridad (SIEM) en uno. Recopila datos de diversas fuentes, como sensores de red, agentes de endpoint, logs, y los correlaciona para identificar patrones de comportamiento sospechosos y detectar amenazas. -NMAP: Es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP "crudos" («raw», N. del T.) en formas originales para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando, así como docenas de otras características. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, 6 la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos. -CODIGO ABIERTO: Es un modelo de desarrollo de software basado en la colaboración abierta. Se enfoca en los beneficios prácticos (acceso al código fuente) y en cuestiones éticas o de libertad que tanto se destacan en el software libre. Para muchos el término «libre» hace referencia al hecho de adquirir un software de manera gratuita. Sin embargo, de lo que se trata es de abaratar los costos y ampliar la participación; que sea libre no necesariamente implica que sea gratuito, lo importante sigue siendo ampliar la participación y extender libertades. - detección de redes: La detección de redes es una configuración que determina si tu equipo puede ver (localizar) otros equipos y dispositivos de la red, y si otros equipos de la red pueden ver tu equipo. Es una de varias configuraciones que se activan cuando activas el uso compartido de red. Puedes activar la detección de redes o desactivarla de manera independiente del uso compartido de red. -AUDITORIA DE SEGURIDAD: Es una evaluación del nivel de madurez de la seguridad de una empresa, en la cual se analizan las políticas y procesos de seguridad establecidos por esta para revisar minuciosamente el grado de cumplimiento. Además, existen medidas técnicas y organizativas determinadas para una mayor solidez. Luego de obtener los resultados de esta, se detallan y almacenan para notificar a los responsables con el fin de que elaboren medidas correctivas y preventivas de refuerzo y, de esta manera, logren sistemas más estables. -HOST: Se usa en informática para referirse a las computadoras u otros dispositivos (tabletas, móviles, portátiles) conectados a una red que proveen y utilizan servicios de ella. Los servidores deben utilizar anfitriones para tener acceso a la red y pueden, a su vez, pedir los mismos servicios a otras máquinas conectadas a la red. Los anfitriones son, por tanto, dispositivos monousuario o multiusuario que ofrecen servicios de transferencia de archivos, conexión remota, servidores de base de datos, servidores web, etc. De forma genérica, podemos decir que un anfitrión es todo equipo informático que posee una dirección IP y que se encuentra interconectado con uno o más equipos y que funciona como el punto de inicio y final de las transferencias de datos. -SISTEMA OPERATIVO: Es un conjunto de programas que permite manejar la memoria, disco, medios de almacenamiento de información y los diferentes periféricos o recursos de nuestra computadora, como son el teclado, el mouse, la impresora, la placa de red, entre otros. Los periféricos utilizan un driver o controlador y son desarrollados por los fabricantes de cada equipo. Encontramos diferentes sistemas operativos como Windows, Linux, MAS OS, en sus diferentes versiones. También los teléfonos y tablets poseen un sistema operativo. Dentro de las tareas que realiza el sistema operativo, en particular, se ocupa de gestionar la memoria de nuestro sistema y la carga de los diferentes programas, para ello cada programa tiene una prioridad o jerarquía y en función de esta contará con los recursos de nuestro sistema por más tiempo que un programa de menor prioridad. -FIREWALL: es un dispositivo de seguridad de la red que monitorea el tráfico de red —entrante y saliente— y decide si permite o bloquea tráfico específico en función de un conjunto definido de reglas de seguridad. Los firewalls han constituido una primera línea de defensa en seguridad de la red durante más de 25 años. Establecen una barrera entre las redes internas protegidas y controladas en las que se puede confiar y redes externas que no son de confianza, como Internet. Un firewall puede ser hardware, software o ambos. PROCEDIMIENTO 7 SOLUCION DE LA GUIA NO.1 ETAPA 1: A. Ingrese a cyberops Workstation y abra la terminal B. Ejecuté el comando que se muestra en la imagen 8 C. Escriba el siguiente comando en el terminal para analizar los puertos UDP de la computadora D. Escriba el siguiente comando en el terminal e. Escriba el siguiente comando en la terminal 9 ANALISIS DE DATOS: ETAPA 1: ¿Qué puestos están abiertos? RTA= Primeramente se ejecuta el comando nmap -sV localhost, para visualizar toda la descripción de este comando, lo cual nos arroga un informe de escaneo del Nmap localhost que tiene una dirección ip: 127.0.0.1, el host esta activado, y en la opción versión del servicio de estado del puerto o puertos nos arroga 3 puertos que están abiertos que son: 21/tcp abre ftp vsftpd 2.0.8 o posterior 22/tcp open ssh OpenSSH 7.7 (protocolo 2.0) ¿Qué puertos UDP están abiertos? RTA= En el comando que se ejecutó no se muestra ningún puerto abierto UDP, solamente muestra los TCP. ¿Qué función usted considera que tiene el switch -sV? RTA= su principal función es interrogar el conjunto de puertos abiertos detectados, para tratar de descubrir servicios y versiones en puertos abiertos. ¿Qué tipo de información puedo obtener del switch -A RTA= el tipo de información que se obtiene es un análisis agresivo del servicio nmap como se muestra a continuación: Informe de escaneo de Nmap para localhost (127.0.0.1) El host está activo (latencia de 0,000095 s). Otras direcciones para localhost (no escaneadas): ::1 10 No se muestra: 998 puertos cerrados VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO 21/tcp abre ftp vsftpd 2.0.8 o posterior | ftp-anon: Se permite el inicio de sesión FTP anónimo (código FTP 230) |_-rw-r--r-- 1 0 0 0 26 de marzo de 2018 ftp_test | sistema ftp: | ESTADÍSTICA: | Estado del servidor FTP: | Conectado a 127.0.0.1 | Iniciado sesión como ftp | TIPO: ASCII | Sin límite de ancho de banda de sesión | El tiempo de espera de la sesión en segundos es 300 | La conexión de control es texto sin formato | Las conexiones de datos serán texto plano | Al inicio de la sesión, el número de clientes era 2 | vsFTPd 3.0.3: seguro, rápido y estable |_Fin del estado 22/tcp open ssh OpenSSH 7.7 (protocolo 2.0) | clave de host ssh: | 2048 b4:91:f9:f9:d6:79:25:86:44:c7:9e:f8:e0:e7:5b:bb (RSA) | 256 06:12:75:fe:b3:89:29:4f:8d:f3:9e:9a:d7:c6:03:52 (ECDSA) |_ 256 34:5d:f2:d3:5b:9f:b4:b6:08:96:a7:30:52:8c:96:06 (ED25519) Información de servicio: Anfitrión: Bienvenido SOLUCION DE LA GUIA NO.2 Etapa 1: a. Inicie sesión en Security Onion VM con el nombre de usuario analyst y cyberops como contraseña. 11 b. Abra Kibana (nombre de usuario analyst y contraseña cyberops) y establezca un intervalo de tiempo absoluto para limitar el enfoque a los datos de registro de enero de 2017 12 c. Limite el intervalo de tiempo en la visualización recuento total de registros a lo largo del tiempo haciendo clic y arrastrando para seleccionar un área alrededor del punto de datos del gráfico 13 Etapa 2: a. Después de reducir el intervalo de tiempo en el panel principal de Kibana, vaya al panel datos de alertas de NIDS haciendo clic en NIDS. b. Amplíe el evento haciendo clic y arrastrando en la visualización NIDS – Alertas a lo largo del tiempo, centrándose aún más en el marco temporal del evento. Dado que el evento ocurrió durante un período muy corto de tiempo, seleccione sólo la línea de trazado del gráfico. c. Limite el intervalo de tiempo en la visualización recuento total de registros a lo largo del tiempo haciendo clic y arrastrando para seleccionar un área alrededor del punto de datos del gráfico d. d. Ahora vea los detalles de los eventos que ocurrieron en ese momento. Desplácese hasta la parte inferior del panel hasta que vea la sección NIDS Alerts de la página. Las alertas se organizan por tiempo. Expanda el primer evento de la lista haciendo clic en la flecha del puntero que está a la izquierda de la marca de tiempo. 14 Etapa 3: a. Haga clic en la alert _id valor, puede pivotar a CapME para inspeccionar la transcripción del evento b. ¡En la ventana de CapME! puede ver la transcripción de la sesión. Muestra las transacciones entre el equipo de origen, en azul, y los destinos a los que tiene acceso el origen. Una gran cantidad de información valiosa, incluyendo un enlace al archivo pcap que está relacionado con esta alerta, está disponible en la transcripción. 15 1. 2. Análisis etapas 1 y 2: ¿Cuál es la hora de la primera alerta NIDS detectada en Kibana? RTA= La primera alerta en el NIDS en kibana es Jan 27, 2017–22:54:43 3. ¿Cuál es la dirección IP de origen en la alerta? RTA= La dirección ip de origen en la alerta es: 172.16.4.193 4. ¿Cuál es la dirección IP de destino en la alerta? RTA= La dirección ip de destino en la alerta es: 194.87.234.129 5. ¿Cuál es el puerto de destino en la alerta? ¿Cuál servicio es este? aquí. RTA= El puerto de destino en la alerta es el 80, y el servicio que se está visualizando es el HTTP 6. ¿Cuál es la clasificación de la alerta? RTA= La clasificación de la alerta es trojan activity 7. ¿Cuál es el nombre del geo-país de destino? RTA= El nombre del país es russia. f. Desde un navegador web, vaya al enlace que se proporciona en el campo signature_info de la alerta. Esto le llevará a la regla de alerta de Snort de amenazas emergentes para el ataque. Se muestran una serie de reglas. Esto se debe a que las firmas pueden cambiar con el tiempo, o se desarrollan reglas nuevas y más precisas. La regla más reciente está en la parte superior de la página. Examine los detalles de la regla. RTA= 16 ¿Cuál es la familia de malware para este evento RTA= Es el Exploit_Kit_RIG. ¿Qué tan severo es el ataque? RTA= el ataque es severo porque la gravedad es la firma. ¿Qué es un kit de ataque? (EK) Busque en internet para responder la pregunta. RTA= Un Exploit Kit es un exploit que utiliza varios sitios web y redirecciona para infectar una computadora con malware. Los kits de ataque utilizan con frecuencia lo que se denomina un ataque drive- by para comenzar la campaña de ataque. En un ataque drive-by, un usuario visita un sitio web que debe ser considerado como seguro. Sin embargo, los atacantes encuentran maneras de poner en peligro sitios web legítimos mediante la búsqueda de vulnerabilidades en los servidores web que los alojan. Las vulnerabilidades permiten a los atacantes insertar su propio código malicioso en el HTML de una página web. El código se inserta con frecuencia en un iFrame. Los iFrames permiten que el contenido de diferentes sitios web se muestre en la misma página web. Los atacantes con frecuencia crearán un iFrame invisible que conecta el navegador a un sitio web malicioso. El HTML del sitio web que se carga en el navegador a menudo contiene un JavaScript que enviará el navegador a otro sitio web malicioso o descargará malware hasta el equipo. 1. Análisis etapa 3 ¿A qué sitio web pretendía conectarse el usuario? RTA= El sitio Web que pretendía conectarse el usuario era ¿A qué URL refiere el navegador al usuario? RTA= https://localhost/capme/elastic.php?esid=fGI9h4oBCLse7rjyC_L7 ¿Qué tipo de contenido solicita el host de origen a tybenme.com? ¿Por qué esto podría ser un problema? Busque en el bloque de servidor DST de la transcripción también. 17 c. ¡Cierre la pestaña CapME! del navegado c. Desde la parte superior del panel de alertas de NIDS, haga clic en la entrada HTTP situada bajo el encabezado Zeek Hunting. d. En el panel HTTP, compruebe que el intervalo de tiempo absoluto incluye 2017-01-27 22:54:30.000 to 2017-01-27 22:56:00.000. e. Desplácese hacia abajo hasta la sección HTTP – Sitios del panel. ¿Cuáles son algunos sitios web mencionados? 18 ¿Cuál de estos sitios es probablemente parte de la campaña de ataque? RTA= Google, Ubuntu ¿Cuáles son los tipos HTTP – MIME enumerados en Tag Cloud? SOLUCION DE LA GUIA NO.3 Etapa 1: a. Inicie Sguil desde el escritorio. Inicie sesión con en nombre de usuario analyst y la contraseña cyberops. Habilite todos los sensores y haga clic en Start. 19 b. Localice el grupo de alertas de 27 enero de 2017. 20 c. Asegúrese de marcar las casillas de verificación Mostrar datos del paquete y Mostrar regla para examinar la información del encabezado del paquete y la regla de firma IDS relacionada con la alerta. 21 d. Seleccione el ID de alerta 5.2 (Mensaje de evento ET CURRENT Evil Redirector Leading to EK Jul 12 2016). e. Maximice la ventana Sguil y ajuste el tamaño de la columna Mensaje de evento para que pueda ver el texto de todo el mensaje. Consulte los mensajes de evento para cada uno de los identificadores de alerta relacionados con este ataque. 22 Etapa 2 a. Seleccione el ID de alerta 5.2 (Mensaje de evento ET CURRENT Evil Redirector Leading to EK Jul 12 2016). b. Haga clic con el botón derecho en el ID de alerta 5.24 (dirección IP de origen de 139.59.160.143 y mensaje de evento ET CURRENT_EVENTS Evil Redirector Leading to EK March 15 2017) y elija Transcript para abrir una transcripción de la conversación. 23 Etapa 3: a. En Security Onion, abra el archivo remodeling-your-kitchen-cabinets.html con el editor de texto que elija. Esta página web inició el ataque.Encuentre los dos lugares en la página web que forman parte del ataque drive-by que inició el ataque?; el primero es en el <head> área y el segundo es en el <body> area de la página. 24 b. Abra el archivo dle_js.js el editor de texto que elija y examínelo. 1. Análisis etapa 1 Según Sguil, ¿cuáles son las marcas de tiempo para la primera y última de las alertas que ocurrieron dentro de un segundo el uno del otro? Según la regla de firma IDS, ¿Cuál familia de malware activó esta alerta? Es posible que deba desplazarse por la firma de alerta para encontrar esta entrada. ¿Según los mensajes de evento en Sguil qué exploit kit (EK) está involucrado en este ataque? Más allá de etiquetar el ataque como actividad troyana, ¿qué otra información se proporciona con respecto al tipo y el nombre del malware involucrado? 25 Según su mejor estimación mirando las alertas hasta ahora, ¿cuál es el vector básico de este ataque? ¿Cómo tuvo lugar el ataque? 2. Análisis etapa 2 ¿Cuáles son los sitios web de referencia y host que participan en el primer evento de SRC? ¿Qué cree que hizo el usuario para generar esta alerta? Consulte la transcripción y responda las siguientes preguntas: ¿Qué tipo de solicitud hubo? ¿Se solicitaron archivos? ¿Cuál es la URL del referente y del sitio web del host? ¿Cómo se codifica el contenido? d. Cierre la ventana de transcripción actual. En la ventana Sguil, haga clic con el botón derecho en el ID de alerta 5.25 (Mensaje de evento ET CURRENT_EVENTS Rig EK URI Struct Mar 13 2017 M2) y abra la transcripción. De acuerdo con la información de la transcripción responda las siguientes preguntas: ¿Cuántas solicitudes y respuestas participaron en esta alerta? ¿Cuál fue la primera solicitud? ¿Quién era el referente? ¿A quién servidor host se le hizo la solicitud? ¿Se ha codificado la respuesta? ¿Cuál fue la segunda solicitud? ¿A quién servidor host se le hizo la solicitud? ¿Se ha codificado la respuesta? ¿Cuál fue la tercera solicitud? ¿Quién era el referente? ¿Cuál fue el tipo de contenido de la tercera respuesta? ¿Cuáles fueron los primeros 3 caracteres de los datos en la respuesta? Los datos se inician después de la última entrada DST: CWS es una firma de archivo. Las firmas de archivo ayudan a identificar el tipo de archivo que se representa. Vaya al siguiente sitio web https://en.wikipedia.org/wiki/List_of_file_signatures. Utilice Ctrl-F para abrir un cuadro de búsqueda. Busque esta firma de archivo para averiguar qué tipo de archivo se ha descargado en los datos ¿Qué tipo de archivo se descargó? ¿Qué tipo de aplicación utiliza este tipo de archivo? Cierre la ventana de transcripción. f. Haga clic con el botón derecho del 2101 y elija Network Miner. Haga clic en la pestaña Archivo. ¿Cuántos archivos hay y cuáles son los tipos de archivo? 3. Análisis etapa 3 26 ¿Qué hace el archivo? ¿Cómo intenta el código del archivo javascript evitar la detección c. En un editor de texto, abra el archivo text/html que se guardó en la carpeta de inicio con Vivaldi como parte del nombre de archivo. Examine el archivo y responda las siguientes preguntas: ¿Qué tipo de archivo es? ¿Cuáles son algunas cosas integrantes de iframe? ¿Menciona alguna? Llama a una función start() ¿Cuál cree que es el propósito de la función getBrowser()? CONCLUSIONES Al realizar el monitoreo de eventos permite tener el control de los puertos y servicios. Que se ejecutan en diferentes segmentos de una red. Se identifico los diferentes puertos vulnerables y posibles ataques ejecutándose en 2 plano. Al clasificar los diferentes ataques en una matriz de riesgos permite mejorar las políticas de seguridad y certificados de autenticación, permitiendo un plan de mejoramiento a nivel físico y lógico. La documentación permite tener mayor control de las vulnerabilidades y ataques, garantizando buenas prácticas por parte de los colaboradores, capacitación constante para minimizar el error humano mal llamado capa. Como se pudo apreciar en estas prácticas de ejecuciones en máquinas virtuales, se pudo visualizar varios objetivos que se alcanzaron, con identificar un Malware, puertos abiertos, vulnerabilidades en paginas web con aplicaciones gratis, donde muestran todos los eventos, diagramas, alertas sobre un comportamiento erróneo en una dirección IP, en una página web y hasta el host local. Otro punto interesante sobre este desarrollo es que se pudo determinar y aprender el análisis profundo de cada software de su manejo, su función y sobre todas sus estadísticas a la hora de un MALWARE, ya que es algo importante y significativo utilizar estas herramientas en las empresas y mejorar el área de seguridad informática y de las vulnerabilidades. Al realizar cada instalación de las maquinas virtuales, se pudo aprender, como se instala una maquina virtual, como se ejecuta comandos en la terminal a nivel de localhost, como se abre y se interactúa kibana, squil. La administración de permisos en la red me permite, implementar buenas políticas en cuanto a las tareas ejecutadas por los colaboradores asignados a las diferentes áreas en un entorno empresarial garantizando seguridad digital e información. Ya para concluir el crecimiento en el uso de sistemas informáticos aumenta demasiado y nos exponen a ser vulnerables en diferentes tipos de malware, que en general pueden ser definidos como: cualquier tipo de código malicioso que puede afectar la integridad y confiabilidad de los sistemas informáticos; como también la información que en ellos se 27 alojan y su privacidad; es por ello que la seguridad informática es de gran importancia, ya que permite comprender los riesgos y las herramientas para prevenir perdida o el robo de información.