Maestra: Informtica Forense, Seguridad

de la Informacin y Auditoria Informtica

Modulo: Computacin Forence,

Redes y TICS

Tema: Forencia de redes de datos

Ronny Bazan Antequera

domain_@hotmail.com
 Laboratorio 2 : Caso practico

1. Instalar VirtualBox
2. Descomprimir la maquina virtual desde
networkforensics_virtualbox.zip en disco duro local
(~5.7GB file comprimido)
3. Iniciar VirtualBox y ejecutar la maquina virtual Hands-on
Network Forensics
4. Usar las siguientes credenciales:
user/password
Distro para Intrusion Detection
personalizada por las FFAA Suecas

Pantalla inicial
 Trafico capturado

Web browsing
o Facebook
o Motores de bsqueda
Chat
o Skype
o HipChat
Emails
o Webmail
o POP3
o SMTP
Dropbox
 Incidente: Alteracion de imagen

El hacker cambio la
pagina principal de un
sitio web por una
imagen el 12 de marzo
aprox. Hrs. 13:00 UTC
Los atacantes
subieron una imagen a
www.pwned.se/skyblu
e/fr.jpg
Linea de tiempo de logs - 40 dias

Inicio: 5/03/2015
Incidente: Modificacin del sitio web
Finalizacin: 13/04/2015
 Parte 1:

Identificar la distribucin Linux utilizada y su

architectura (usar lnea de comandos). Adjuntar
captura de pantalla
Describir y adjuntar ejemplos de comandos
HTTP: POST y GET
Escribir una breve definicin de la herramienta
Wireshark mas descripcin de sus caracteristicas
 Parte 2:

P1. Que IP uso el atacante?

P2. Como el atacante obtuvo el archivo fr.jpg del
servidor web?

Herramientas recomendadas:
Wireshark (conversacin y seguimiento del
TCP stream
Tshark (-T campos)
NetworkMiner (Parametros)
 Filtrando con Wireshark

Iniciar wireshark
Abrir logs correspondiente al dia del incidente
reportado anteriormente
Ubicacin de los archivos PCAP:
/nsm/sensor_data/securityonion_eth1/dailylogs/
Comandos Wireshark

ip.addr == 10.0.0.1 [Establece el filtro para cualquier paquete con 10.0.0.1

para el origen o destino]

ip.addr==10.0.0.1 && ip.addr==10.0.0.2 [Establece una conversacin entre

dos IPs definidos]

http or dns [Establece el filtro para desplegar http o dns]

tcp.port==4000 [Establece un filtro para cualquier paquete TCP con 4000

como origen o destino]

tcp contains traffic[Despliega todos los paquetes TCP que contienen la

palabra traffic]

http.request [Despliega todas las peticiones HTTP GET]

http.request.uri contains <archivo> [Despliega paquetes relacionados con

<archivo>
 Filtrando con Wireshark

Filtrar datos usando:

http.request.uri contains fr.jpg
Identificar comando GET
Acceso a archivos PCAP
 Parte 3:
Usando la herramienta Tshark

Usando el manual disponible en su distribucion, detallar 3 parametros

utilizados en este commando

Comparar resultados Tshark y Wireshark (existe alguna diferencia)

 Solicitud HTTP POST maliciosa

http.request.method == POST and ip.addr eq 217.195.49.146

El atacante controla $msg a travs del parmetro name

Parte 4:

Describir los comandos netcat y tcpdump,

explicar algunos de los parmetros mas
importantes

http://www.thegeekstuff.com/2012/04/nc-command-examples/
 Parte 5:

Que numero de puerto origen y puerto destino

utilizo el atacante para conectarse remotamente
al servidor web?
Adjunte capturas de pantallas y breve explicacin
de cada paso que el atacante utilizo
Parametro name en NetworkMiner
Inyeccion de commando HTTP POST
Analisis de paquetes en Wireshark

tcp.srcport == 63122 && tcp.dstport ==35041

En Follow TCP Stream se ve la utilizacion de

reverse shell a traves de Netcat
 Parte 6:

Que pasos sigui el atacante? Explique cada uno

de ellos
o Ataque de reverse shell a traves de inyeccion de
commandos (CVE-2014-1683)