Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por lizeth santamaria

INFORME LABORATORIO-MALWARE

Anuncio 
1
FUNDACIÓN UNIVERSITARIA COMPENSAR
MENJURA BRIAN ANDRES
PEDRAZA FREDY ANDRES
MATEUS JOSE LUIS
SEGURIDAD DE LA INFORMACIÓN
PROFESOR: CARLOS ANDRES CABRERA CASTILLO
FECHA DE ENTREGA: 12 DE SEPTIEMBRE DE 2023
2
RESUMEN
El presente informe pretende mostrar el contenido del desarrollo de las 3 guías, sobre el uso del
Nmap, ya que es un código abierto que se utiliza para la detección de redes y auditoria de seguridad.
Ya que hoy en días los administradores utilizan el asignador de red para monitorear los hosts
correspondientes y administrar programas de actualización de servicios, hay que mencionar que el
Nmap determina que los hosts están disponibles en una red y también se puede validar que
programas se están ejecutando, como sistemas operativos, paquetes de firewalls. Se debe usar
porque ayuda a mapear rápidamente una red sin comandos ni configuraciones sofisticados. También
admite comandos y secuencias de comandos complejas a través del motor de secuencias de
comandos Nmap, lo cual esta práctica se ejecutó en una máquina virtual en virtual box con una
imagen ISO de cyberops Workstation, ejecutando varios comandos en la terminal validando su
respectiva función y características.
Los otros dos desarrollos fue hacer un análisis profundo de algunas clases de malware, como
determinar su clasificación, la severidad de la amenaza, los focos de ataque, alertas IDS y tipos de
solicitudes realizadas, esta práctica se ejecutó en virtual BOX, con la imagen ISO de security Onion,
donde se ejecutaron varios procesos en el aplicativo Kibana y Sguil
Con todo esto dicho se pretende mostrar el contenido de la investigación sobre los ataques más
comunes en internet, como también mostrar cuales son las posibles amenazas que existen dentro
de un sistema de redes de comunicación, un sistema informático, una aplicación o una página web,
cuáles son las vulnerabilidades encontradas en ellos.
Abstract
Cabe de mencionar que este contenido de este informe ha sido un resumen de lo más común que
se puede dar en internet en cuanto a sus ataques a nivel de localhost en máquinas virtuales. A
continuación, se presentan los objetivos de esta investigación como también algunas definiciones de
3
algunos elementos usados comúnmente en internet para atacar ya sea un sistema o una aplicación
como tal dentro de lo que hoy en día se ha vuelto tan popular como son las redes y el internet.
OBJETIVOS GENERALES

Utilizar Nmap, un escáner de puertos y una herramienta de asignación de red para detectar
amenazas y vulnerabilidades en un sistema

Identificar formas de análisis referente a las amenazas, riesgos y vulnerabilidades en
relación con los posibles Malware en una red de telecomunicaciones.

Identificar formas de análisis referente a las amenazas, riesgos y vulnerabilidades en
relación con los posibles Malware en una red de telecomunicaciones.
OBJETIVOS ESPECIFICOS





Identificar las amenazas provenientes de algún tipo de Malware.
Identificar vulnerabilidades de la red
Identificar las amenazas provenientes de algún tipo de Malware.
Reconocer el malware detectado, el riesgo de impacto
Comprobar alertas IDS.
INTRODUCCIÓN
En la actualidad siempre ha existido la evolución, donde ha servido y debe servir para mejorar el
nivel de vida de la humanidad, tanto espiritual, tecnológica y en las comunicaciones. Donde el
hombre, por naturaleza necesita interactuar con las demás personas, para así intercambiar ideas,
pensamientos, estrategias o documentos que sean de utilidad a un individuo, un grupo o una
organización.
Esto se resume a lo que es la información, la seguridad, el análisis, las vulnerabilidades, las
amenazas, los riesgos y las alertas.
Cuando la información es privada siempre existe la preocupación de que alguien pueda robarla,
utilizándola para fines lucrativos para sí mismo o para perjudicar a sus víctimas, es por eso por lo
que se debe buscar la seguridad en el traslado de la información. Esta seguridad no es más que
tomar medidas preventivas, para evitar en su mayor totalidad de la intromisión de terceros no
autorizados a la documentación.
4
Este trabajo se enfoca en la seguridad en redes en las computadoras, validando como su nombre lo
dice, vulnerabilidades en la seguridad, malware ya que en las organizaciones pueden confiar que su
información valiosa, puede estar protegida ante distintas amenazas. Hay que mencionar que la
seguridad en redes se da en dos tipos: física y lógica. En la primera, se debe estar atento y tomar
medidas preventivas como son los desastres naturales, inundaciones, terremotos, incendios, así,
como también de las instalaciones eléctricas, etc. En la segunda se debe tener cuidado con aquellas
personas que no están autorizadas para el acceso de la información, y es ahí donde entran los
piratas informáticos, un ejemplo de ellos son los hackers, crackers, etc. Que buscan algo que les
interesa y después puedan poseerlo, o también para probarse a sí mismos hasta donde pueden
llegar, aprovechándose de las vulnerabilidades de la víctima, como por ejemplo de los sistemas
operativos o de la ingenuidad de los trabajadores al recibir archivos desconocidos y abrirlos,
infectando el sistema por medio de virus u otra especie de herramientas.
Es por eso por lo que se deben tener medidas preventivas para combatir estos ilícitos, ya sea con
políticas de seguridad de la organización, de herramientas de seguridad para los sistemas operativos
que son gratis algunas, donde uno puede hacer el análisis profundo y determinar que tipo de
amenazas tienen los equipos, por eso es que se realizó varias practicas y procedimientos en las
guías con 2 máquinas virtuales donde se pudo ejecutar varios comandos y abrir 2 aplicaciones para
detección de Malware para así tener una buena seguridad y tener conocimiento sobre el
funcionamiento y conceptos.
La seguridad no se da en toda su totalidad, pero, si se puede tener en su mayoría, ya que, para una
persona muy capaz, siempre habrá otra que este por arriba de ella. Haciendo que esto sea un ciclo
de nunca acabar, porque no existe una conciencia social, algunos para atacar y otros que hacen un
monopolio para aprovecharse de los demás con sus productos.
MATERIALES

Portátil.

Cargador.

Internet-Wifi.

VM virtual box.

Security Onion.

Cyberops Workstation.
MARCO TEORICO
-MALWARE: Es un término que abarca cualquier tipo de software malicioso diseñado para dañar o
explotar cualquier dispositivo, servicio o red programable. Los delincuentes cibernéticos
generalmente lo usan para extraer datos que pueden utilizar como chantaje hacia las víctimas para
obtener ganancias financieras. Dichos datos pueden variar desde datos financieros, hasta registros
de atención médica, correos electrónicos personales y contraseñas. La variedad de información que
puede verse comprometida se ha vuelto ilimitada.
-ATAQUE: Un ataque informático es una acción perjudicial para los sistemas (ordenadores, redes
informáticas y otros dispositivos electrónicos) de las empresas o de los particulares. Estos sistemas
5
son vulnerables ante ataques informáticos. Por ello, es importante que conozcas qué tipos de
ataques informáticos existen y cómo enfrentarnos a ellos.
-ALERTAS IDS: Es un sistema de supervisión que detecta actividades sospechosas y genera alertas
al detectarlas. Según estas alertas, un analista de un centro de operaciones de seguridad (Security
Operations Center, SOC) o un responsable de respuesta a incidentes puede investigar el problema
y tomar las medidas adecuadas para corregir la amenaza.
-VULNERABILIDAD: Es una debilidad existente en un sistema que puede ser utilizada por una
persona malintencionada para comprometer su seguridad. Las vulnerabilidades pueden ser de
varios tipos, pueden ser de tipo hardware, software, procedimentales o humanas y pueden ser
explotadas o utilizadas por intrusos o atacantes.
-SGUIL: Sguil (pronunciado sgweel o squeal) es una colección de componentes de software gratuitos
para monitoreo de seguridad de red (NSM) y análisis impulsado por eventos de alertas IDS. El cliente
sguil está escrito en Tcl/Tk y puede ejecutarse en cualquier sistema operativo que los admita. Sguil
integra datos de alerta de Snort, datos de sesión de SANCP y datos de contenido completo de una
segunda instancia de Snort que se ejecuta en modo de registro de paquetes.
Sguil es una implementación de un sistema de monitoreo de seguridad de red. NSM se define como
"recopilación, análisis y escalamiento de indicaciones y advertencias para detectar y responder a
intrusiones".
- Wireshark: Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas
en redes de comunicaciones, para análisis de datos y protocolos, y como una herramienta didáctica.
Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente
hueca.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas
opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través
de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo
la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.
Permite examinar datos o de un archivo de captura salvado en disco. Se puede analizar la
información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un
completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de
una sesión de TCP.
-SECURIY ONION: Security Onion es una distribución de Linux diseñada para la detección de
amenazas de seguridad en la infraestructura de la empresa. Se basa en una combinación de
herramientas de seguridad, como Snort, Suricata, Zeek, Wazuh, Elasticsearch y Kibana, para
recolectar y analizar datos y detectar amenazas avanzadas.
Security Onion funciona como un sistema de detección de intrusiones (IDS) y un sistema de gestión
de eventos de seguridad (SIEM) en uno. Recopila datos de diversas fuentes, como sensores de red,
agentes de endpoint, logs, y los correlaciona para identificar patrones de comportamiento
sospechosos y detectar amenazas.
-NMAP: Es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se
diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos
individuales. Nmap utiliza paquetes IP "crudos" («raw», N. del T.) en formas originales para
determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de
la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de
paquetes o cortafuegos se están utilizando, así como docenas de otras características. Aunque
generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y
sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red,
6
la planificación de actualización de servicios y la monitorización del tiempo que los equipos o
servicios se mantiene activos.
-CODIGO ABIERTO: Es un modelo de desarrollo de software basado en la colaboración abierta. Se
enfoca en los beneficios prácticos (acceso al código fuente) y en cuestiones éticas o de libertad que
tanto se destacan en el software libre. Para muchos el término «libre» hace referencia al hecho de
adquirir un software de manera gratuita. Sin embargo, de lo que se trata es de abaratar los costos y
ampliar la participación; que sea libre no necesariamente implica que sea gratuito, lo importante
sigue siendo ampliar la participación y extender libertades.
- detección de redes: La detección de redes es una configuración que determina si tu equipo puede
ver (localizar) otros equipos y dispositivos de la red, y si otros equipos de la red pueden ver tu equipo.
Es una de varias configuraciones que se activan cuando activas el uso compartido de red. Puedes
activar la detección de redes o desactivarla de manera independiente del uso compartido de red.
-AUDITORIA DE SEGURIDAD: Es una evaluación del nivel de madurez de la seguridad de una
empresa, en la cual se analizan las políticas y procesos de seguridad establecidos por esta para
revisar minuciosamente el grado de cumplimiento. Además, existen medidas técnicas y organizativas
determinadas para una mayor solidez.
Luego de obtener los resultados de esta, se detallan y almacenan para notificar a los responsables
con el fin de que elaboren medidas correctivas y preventivas de refuerzo y, de esta manera, logren
sistemas más estables.
-HOST:
Se
usa
en
informática
para
referirse
a
las computadoras u
otros dispositivos (tabletas, móviles, portátiles) conectados a una red que proveen y utilizan
servicios de ella. Los servidores deben utilizar anfitriones para tener acceso a la red y pueden, a su
vez, pedir los mismos servicios a otras máquinas conectadas a la red. Los anfitriones son, por
tanto, dispositivos monousuario o multiusuario que ofrecen servicios de transferencia de archivos,
conexión remota, servidores de base de datos, servidores web, etc.
De forma genérica, podemos decir que un anfitrión es todo equipo informático que posee
una dirección IP y que se encuentra interconectado con uno o más equipos y que funciona como el
punto de inicio y final de las transferencias de datos.
-SISTEMA OPERATIVO: Es un conjunto de programas que permite manejar la memoria, disco,
medios de almacenamiento de información y los diferentes periféricos o recursos de nuestra
computadora, como son el teclado, el mouse, la impresora, la placa de red, entre otros.
Los periféricos utilizan un driver o controlador y son desarrollados por los fabricantes de cada equipo.
Encontramos diferentes sistemas operativos como Windows, Linux, MAS OS, en sus diferentes
versiones. También los teléfonos y tablets poseen un sistema operativo.
Dentro de las tareas que realiza el sistema operativo, en particular, se ocupa de gestionar la memoria
de nuestro sistema y la carga de los diferentes programas, para ello cada programa tiene una
prioridad o jerarquía y en función de esta contará con los recursos de nuestro sistema por más tiempo
que un programa de menor prioridad.
-FIREWALL: es un dispositivo de seguridad de la red que monitorea el tráfico de red —entrante y
saliente— y decide si permite o bloquea tráfico específico en función de un conjunto definido de
reglas de seguridad.
Los firewalls han constituido una primera línea de defensa en seguridad de la red durante más de
25 años. Establecen una barrera entre las redes internas protegidas y controladas en las que se
puede confiar y redes externas que no son de confianza, como Internet. Un firewall puede ser
hardware, software o ambos.
PROCEDIMIENTO
7
SOLUCION DE LA GUIA NO.1
ETAPA 1:
A. Ingrese a cyberops Workstation y abra la terminal
B. Ejecuté el comando que se muestra en la imagen
8
C. Escriba el siguiente comando en el terminal para analizar los puertos UDP de la computadora
D. Escriba el siguiente comando en el terminal
e. Escriba el siguiente comando en la terminal
9
ANALISIS DE DATOS:
ETAPA 1:
¿Qué puestos están abiertos?
RTA= Primeramente se ejecuta el comando nmap -sV localhost, para visualizar toda la descripción
de este comando, lo cual nos arroga un informe de escaneo del Nmap localhost que tiene una
dirección ip: 127.0.0.1, el host esta activado, y en la opción versión del servicio de estado del puerto
o puertos nos arroga 3 puertos que están abiertos que son:
21/tcp abre ftp vsftpd 2.0.8 o posterior
22/tcp open ssh OpenSSH 7.7 (protocolo 2.0)
¿Qué puertos UDP están abiertos?
RTA= En el comando que se ejecutó no se muestra ningún puerto abierto UDP, solamente muestra
los TCP.
¿Qué función usted considera que tiene el switch -sV?
RTA= su principal función es interrogar el conjunto de puertos abiertos detectados, para tratar de
descubrir servicios y versiones en puertos abiertos.
¿Qué tipo de información puedo obtener del switch -A
RTA= el tipo de información que se obtiene es un análisis agresivo del servicio nmap como se
muestra a continuación:
Informe de escaneo de Nmap para localhost (127.0.0.1)
El host está activo (latencia de 0,000095 s).
Otras direcciones para localhost (no escaneadas): ::1
10
No se muestra: 998 puertos cerrados
VERSIÓN DEL SERVICIO DEL ESTADO DEL PUERTO
21/tcp abre ftp vsftpd 2.0.8 o posterior
| ftp-anon: Se permite el inicio de sesión FTP anónimo (código FTP 230)
|_-rw-r--r-- 1 0 0 0 26 de marzo de 2018 ftp_test
| sistema ftp:
| ESTADÍSTICA:
| Estado del servidor FTP:
| Conectado a 127.0.0.1
| Iniciado sesión como ftp
| TIPO: ASCII
| Sin límite de ancho de banda de sesión
| El tiempo de espera de la sesión en segundos es 300
| La conexión de control es texto sin formato
| Las conexiones de datos serán texto plano
| Al inicio de la sesión, el número de clientes era 2
| vsFTPd 3.0.3: seguro, rápido y estable
|_Fin del estado
22/tcp open ssh OpenSSH 7.7 (protocolo 2.0)
| clave de host ssh:
| 2048 b4:91:f9:f9:d6:79:25:86:44:c7:9e:f8:e0:e7:5b:bb (RSA)
| 256 06:12:75:fe:b3:89:29:4f:8d:f3:9e:9a:d7:c6:03:52 (ECDSA)
|_ 256 34:5d:f2:d3:5b:9f:b4:b6:08:96:a7:30:52:8c:96:06 (ED25519)
Información de servicio: Anfitrión: Bienvenido
SOLUCION DE LA GUIA NO.2
Etapa 1:
a. Inicie sesión en Security Onion VM con el nombre de usuario analyst y cyberops como
contraseña.
11
b. Abra Kibana (nombre de usuario analyst y contraseña cyberops) y establezca un intervalo
de tiempo absoluto para limitar el enfoque a los datos de registro de enero de 2017
12
c.
Limite el intervalo de tiempo en la visualización recuento total de registros a lo largo del
tiempo haciendo clic y arrastrando para seleccionar un área alrededor del punto de datos del
gráfico
13
Etapa 2:
a.
Después de reducir el intervalo de tiempo en el panel principal de Kibana, vaya al panel
datos de alertas de NIDS haciendo clic en NIDS.
b. Amplíe el evento haciendo clic y arrastrando en la visualización NIDS – Alertas a lo largo del
tiempo, centrándose aún más en el marco temporal del evento. Dado que el evento ocurrió
durante un período muy corto de tiempo, seleccione sólo la línea de trazado del gráfico.
c.
Limite el intervalo de tiempo en la visualización recuento total de registros a lo largo del
tiempo haciendo clic y arrastrando para seleccionar un área alrededor del punto de datos del
gráfico
d. d. Ahora vea los detalles de los eventos que ocurrieron en ese momento. Desplácese hasta
la parte inferior del panel hasta que vea la sección NIDS Alerts de la página. Las alertas se
organizan por tiempo. Expanda el primer evento de la lista haciendo clic en la flecha del
puntero que está a la izquierda de la marca de tiempo.
14
Etapa 3:
a. Haga clic en la alert _id valor, puede pivotar a CapME para inspeccionar la transcripción del
evento
b. ¡En la ventana de CapME! puede ver la transcripción de la sesión. Muestra las transacciones
entre el equipo de origen, en azul, y los destinos a los que tiene acceso el origen. Una gran
cantidad de información valiosa, incluyendo un enlace al archivo pcap que está relacionado
con esta alerta, está disponible en la transcripción.
15
1.
2.
Análisis etapas 1 y 2:
¿Cuál es la hora de la primera alerta NIDS detectada en Kibana?
RTA= La primera alerta en el NIDS en kibana es Jan 27, 2017–22:54:43
3.
¿Cuál es la dirección IP de origen en la alerta?
RTA= La dirección ip de origen en la alerta es: 172.16.4.193
4.
¿Cuál es la dirección IP de destino en la alerta?
RTA= La dirección ip de destino en la alerta es: 194.87.234.129
5.
¿Cuál es el puerto de destino en la alerta? ¿Cuál servicio es este? aquí.
RTA= El puerto de destino en la alerta es el 80, y el servicio que se está visualizando es el
HTTP
6.
¿Cuál es la clasificación de la alerta?
RTA= La clasificación de la alerta es trojan activity
7.
¿Cuál es el nombre del geo-país de destino?
RTA= El nombre del país es russia.
f.
Desde un navegador web, vaya al enlace que se proporciona en el campo signature_info
de la alerta. Esto le llevará a la regla de alerta de Snort de amenazas emergentes para el
ataque. Se muestran una serie de reglas. Esto se debe a que las firmas pueden cambiar con
el tiempo, o se desarrollan reglas nuevas y más precisas. La regla más reciente está en la
parte superior de la página. Examine los detalles de la regla.
RTA=
16
¿Cuál es la familia de malware para este evento
RTA= Es el Exploit_Kit_RIG.
¿Qué tan severo es el ataque?
RTA= el ataque es severo porque la gravedad es la firma.
¿Qué es un kit de ataque? (EK) Busque en internet para responder la pregunta.
RTA= Un Exploit Kit es un exploit que utiliza varios sitios web y redirecciona para infectar una
computadora con malware.
Los kits de ataque utilizan con frecuencia lo que se denomina un ataque drive- by para comenzar la
campaña de ataque. En un ataque drive-by, un usuario visita un sitio web que debe ser considerado
como seguro. Sin embargo, los atacantes encuentran maneras de poner en peligro sitios web
legítimos mediante la búsqueda de vulnerabilidades en los servidores web que los alojan. Las
vulnerabilidades permiten a los atacantes insertar su propio código malicioso en el HTML de una
página web. El código se inserta con frecuencia en un iFrame. Los iFrames permiten que el contenido
de diferentes sitios web se muestre en la misma página web. Los atacantes con frecuencia crearán
un iFrame invisible que conecta el navegador a un sitio web malicioso. El HTML del sitio web que se
carga en el navegador a menudo contiene un JavaScript que enviará el navegador a otro sitio web
malicioso o descargará malware hasta el equipo.
1.
Análisis etapa 3
¿A qué sitio web pretendía conectarse el usuario?
RTA= El sitio Web que pretendía conectarse el usuario era
¿A qué URL refiere el navegador al usuario?
RTA= https://localhost/capme/elastic.php?esid=fGI9h4oBCLse7rjyC_L7
¿Qué tipo de contenido solicita el host de origen a tybenme.com? ¿Por qué esto podría ser un
problema? Busque en el bloque de servidor DST de la transcripción también.
17
c.
¡Cierre la pestaña CapME! del navegado
c. Desde la parte superior del panel de alertas de NIDS, haga clic en la entrada HTTP situada bajo
el encabezado Zeek Hunting.
d. En el panel HTTP, compruebe que el intervalo de tiempo absoluto incluye 2017-01-27
22:54:30.000 to 2017-01-27 22:56:00.000.
e. Desplácese hacia abajo hasta la sección HTTP – Sitios del panel.
¿Cuáles son algunos sitios web mencionados?
18
¿Cuál de estos sitios es probablemente parte de la campaña de ataque?
RTA= Google, Ubuntu
¿Cuáles son los tipos HTTP – MIME enumerados en Tag Cloud?
SOLUCION DE LA GUIA NO.3
Etapa 1:
a. Inicie Sguil desde el escritorio. Inicie sesión con en nombre de usuario analyst y la
contraseña cyberops. Habilite todos los sensores y haga clic en Start.
19
b. Localice el grupo de alertas de 27 enero de 2017.
20
c.
Asegúrese de marcar las casillas de verificación Mostrar datos del
paquete y Mostrar regla para examinar la información del encabezado del
paquete y la regla de firma IDS relacionada con la alerta.
21
d. Seleccione el ID de alerta 5.2 (Mensaje de evento ET CURRENT Evil Redirector
Leading to EK Jul 12 2016).
e. Maximice la ventana Sguil y ajuste el tamaño de la columna Mensaje de evento
para que pueda ver el texto de todo el mensaje. Consulte los mensajes de evento
para cada uno de los identificadores de alerta relacionados con este ataque.
22
Etapa 2
a. Seleccione el ID de alerta 5.2 (Mensaje de evento ET CURRENT Evil Redirector Leading
to EK Jul 12 2016).
b. Haga clic con el botón derecho en el ID de alerta 5.24 (dirección IP de origen
de 139.59.160.143 y mensaje de evento ET CURRENT_EVENTS Evil Redirector Leading
to EK March 15 2017) y elija Transcript para abrir una transcripción de la conversación.
23
Etapa 3:
a. En Security Onion, abra el archivo remodeling-your-kitchen-cabinets.html con el editor
de texto que elija. Esta página web inició el ataque.Encuentre los dos lugares en la página
web que forman parte del ataque drive-by que inició el ataque?; el primero es en el <head>
área y el segundo es en el <body> area de la página.
24
b. Abra el archivo dle_js.js el editor de texto que elija y examínelo.
1. Análisis etapa 1
Según Sguil, ¿cuáles son las marcas de tiempo para la primera y última de las alertas que
ocurrieron dentro de un segundo el uno del otro?
Según la regla de firma IDS, ¿Cuál familia de malware activó esta alerta? Es posible que deba
desplazarse por la firma de alerta para encontrar esta entrada.
¿Según los mensajes de evento en Sguil qué exploit kit (EK) está involucrado en este ataque?
Más allá de etiquetar el ataque como actividad troyana, ¿qué otra información se proporciona con
respecto al tipo y el nombre del malware involucrado?
25
Según su mejor estimación mirando las alertas hasta ahora, ¿cuál es el vector básico de este
ataque? ¿Cómo tuvo lugar el ataque?
2. Análisis etapa 2
¿Cuáles son los sitios web de referencia y host que participan en el primer evento de SRC? ¿Qué
cree que hizo el usuario para generar esta alerta?
Consulte la transcripción y responda las siguientes preguntas:
¿Qué tipo de solicitud hubo?
¿Se solicitaron archivos?
¿Cuál es la URL del referente y del sitio web del host?
¿Cómo se codifica el contenido?
d. Cierre la ventana de transcripción actual. En la ventana Sguil, haga clic con el botón derecho en
el ID de alerta 5.25 (Mensaje de evento ET CURRENT_EVENTS Rig EK URI Struct Mar 13 2017
M2) y abra la transcripción. De acuerdo con la información de la transcripción responda las
siguientes preguntas:
¿Cuántas solicitudes y respuestas participaron en esta alerta?
¿Cuál fue la primera solicitud?
¿Quién era el referente?
¿A quién servidor host se le hizo la solicitud?
¿Se ha codificado la respuesta?
¿Cuál fue la segunda solicitud?
¿A quién servidor host se le hizo la solicitud?
¿Se ha codificado la respuesta?
¿Cuál fue la tercera solicitud?
¿Quién era el referente?
¿Cuál fue el tipo de contenido de la tercera respuesta?
¿Cuáles fueron los primeros 3 caracteres de los datos en la respuesta? Los datos se inician
después de la última entrada DST:
CWS es una firma de archivo. Las firmas de archivo ayudan a identificar el tipo de archivo que se
representa. Vaya al siguiente sitio web https://en.wikipedia.org/wiki/List_of_file_signatures. Utilice
Ctrl-F para abrir un cuadro de búsqueda. Busque esta firma de archivo para averiguar qué tipo de
archivo se ha descargado en los datos
¿Qué tipo de archivo se descargó? ¿Qué tipo de aplicación utiliza este tipo de archivo?
Cierre la ventana de transcripción.
f. Haga clic con el botón derecho del 2101 y elija Network Miner. Haga clic en la pestaña Archivo.
¿Cuántos archivos hay y cuáles son los tipos de archivo?
3. Análisis etapa 3
26
¿Qué hace el archivo?
¿Cómo intenta el código del archivo javascript evitar la detección
c. En un editor de texto, abra el archivo text/html que se guardó en la carpeta de inicio con Vivaldi
como parte del nombre de archivo.
Examine el archivo y responda las siguientes preguntas:
¿Qué tipo de archivo es?
¿Cuáles son algunas cosas integrantes de iframe? ¿Menciona alguna?
Llama a una función start()
¿Cuál cree que es el propósito de la función getBrowser()?
CONCLUSIONES

Al realizar el monitoreo de eventos permite tener el control de los puertos y servicios. Que
se ejecutan en diferentes segmentos de una red.

Se identifico los diferentes puertos vulnerables y posibles ataques ejecutándose en 2 plano.

Al clasificar los diferentes ataques en una matriz de riesgos permite mejorar las políticas de
seguridad y certificados de autenticación, permitiendo un plan de mejoramiento a
nivel físico y lógico.

La documentación permite tener mayor control de las vulnerabilidades y ataques,
garantizando buenas prácticas por parte de los colaboradores, capacitación constante para
minimizar el error humano mal llamado capa.

Como se pudo apreciar en estas prácticas de ejecuciones en máquinas virtuales, se pudo
visualizar varios objetivos que se alcanzaron, con identificar un Malware, puertos abiertos,
vulnerabilidades en paginas web con aplicaciones gratis, donde muestran todos los eventos,
diagramas, alertas sobre un comportamiento erróneo en una dirección IP, en una página
web y hasta el host local.

Otro punto interesante sobre este desarrollo es que se pudo determinar y aprender el análisis
profundo de cada software de su manejo, su función y sobre todas sus estadísticas a la hora
de un MALWARE, ya que es algo importante y significativo utilizar estas herramientas en las
empresas y mejorar el área de seguridad informática y de las vulnerabilidades.

Al realizar cada instalación de las maquinas virtuales, se pudo aprender, como se instala
una maquina virtual, como se ejecuta comandos en la terminal a nivel de localhost, como se
abre y se interactúa kibana, squil.

La administración de permisos en la red me permite, implementar buenas políticas en cuanto
a las tareas ejecutadas por los colaboradores asignados a las diferentes áreas en un entorno
empresarial garantizando seguridad digital e información.

Ya para concluir el crecimiento en el uso de sistemas informáticos aumenta demasiado y
nos exponen a ser vulnerables en diferentes tipos de malware, que en general pueden ser
definidos como: cualquier tipo de código malicioso que puede afectar la integridad y
confiabilidad de los sistemas informáticos; como también la información que en ellos se
27
alojan y su privacidad; es por ello que la seguridad informática es de gran importancia, ya
que permite comprender los riesgos y las herramientas para prevenir perdida o el robo de
información.
Documentos relacionados
METODOS CUANTITATIVOS DE INVESTIGACIÓN SOCIAL
METODOS CUANTITATIVOS DE INVESTIGACIÓN SOCIAL
OREGON BAR-386 SILVER ESTACIÓN METEOROLÓGICA
OREGON BAR-386 SILVER ESTACIÓN METEOROLÓGICA
INFOGRAFIA
INFOGRAFIA
LA OFERTA
LA OFERTA
actividad sumativa
actividad sumativa
DECRETO 07
DECRETO 07
Los_10_mandamientos_de_seg
Los_10_mandamientos_de_seg
actividad en clase Terminología
actividad en clase Terminología
10 consejos para evitar el malware y los virus informáticos
10 consejos para evitar el malware y los virus informáticos
Actividadndenproyecton7nEvidencian4 135fbedf9f37f5d
Actividadndenproyecton7nEvidencian4 135fbedf9f37f5d
Descargar
Anuncio
Anuncio