1. Instalar VirtualBox
2. Descomprimir la maquina virtual desde
networkforensics_virtualbox.zip en disco duro local
(~5.7GB file comprimido)
3. Iniciar VirtualBox y ejecutar la maquina virtual Hands-on
Network Forensics
4. Usar las siguientes credenciales:
user/password
Distro para Intrusion Detection
personalizada por las FFAA Suecas
Pantalla inicial
Trafico capturado
Web browsing
o Facebook
o Motores de bsqueda
Chat
o Skype
o HipChat
Emails
o Webmail
o POP3
o SMTP
Dropbox
Incidente: Alteracion de imagen
El hacker cambio la
pagina principal de un
sitio web por una
imagen el 12 de marzo
aprox. Hrs. 13:00 UTC
Los atacantes
subieron una imagen a
www.pwned.se/skyblu
e/fr.jpg
Linea de tiempo de logs - 40 dias
Inicio: 5/03/2015
Incidente: Modificacin del sitio web
Finalizacin: 13/04/2015
Parte 1:
Herramientas recomendadas:
Wireshark (conversacin y seguimiento del
TCP stream
Tshark (-T campos)
NetworkMiner (Parametros)
Filtrando con Wireshark
Iniciar wireshark
Abrir logs correspondiente al dia del incidente
reportado anteriormente
Ubicacin de los archivos PCAP:
/nsm/sensor_data/securityonion_eth1/dailylogs/
Comandos Wireshark
http://www.thegeekstuff.com/2012/04/nc-command-examples/
Parte 5: