Ejercicios de analisis de tráfico WireShark

[pic 1][pic 2][pic 3]

INDICE

Escenario planteado:        2

Preguntas:        2

1.        ¿Cuál es el nombre del amigo de Ann?        2

2.        ¿Cuál es el primer comentario de la conversación?        4

3.        ¿Cuál es el nombre del archivo transferido?        4

4.        ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?        5

5.        ¿Cuál es el MD5 del fichero?        5

6.        ¿Cuál es la receta secreta?        7

Herramientas:        2

Análisis:        3

1.        ¿Cuál es el nombre del amigo de Ann?        2

2.        ¿Cuál es el primer comentario de la conversación?        2

3.        ¿Cuál es el primer comentario de la conversación?        2

4.        ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?        2

5.        ¿Cuál es el MD5 del fichero?        2

6.        ¿Cuál es la receta secreta?        2

Escenario planteado:

La empresa Anarchy sospecha que la empleada Ann está extrayendo información para sus competidores.

La empleada ha accedido a la receta secreta de la compañía, por ello los analistas de seguridad están preocupados de que se produzca una fuga de información.

Los analistas han estado monitorizando la actividad de Ann durante un tiempo pero aún no tenían evidencias…hasta ahora! Hoy ha aparecido un pc inesperado durante un pequeño periodo de tiempo en la red wifi de la compañía.

Se sospecha de alguien en el parking, ya que no se ha visto a ningún extraño en el edificio.

El equipo de Ann (192.168.1.158) ha estado enviando paquetes de mensajería instantánea a través de la red wifi a dicho pc.

Preguntas:

1. ¿Cuál es el nombre del amigo de Ann?

2. ¿Cuál es el primer comentario de la conversación?

3. ¿Cuál es el nombre del archivo transferido?

4. ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?

5. ¿Cuál es el MD5 del fichero?

6. ¿Cuál es la receta secreta?

Herramientas:

Listado de herramientas utilizadas:

• WireShark 4.4.5

• https://www.wireshark.org/

Análisis:

Tareas previas a la respuesta de preguntas:

Abrir la evidencia, aplicar el filtro correspondiente y decodificar el formato adecuado para visualizar correctamente la secuencia de comunicación.

Antes de comenzar a responder las preguntas realizamos estos pasos:

1. Abrir el evidence01.cap en Wireshark
   Abre Wireshark (ya sea en Kali Linux o en Windows).
   
2. Aplicar filtro por IP de Ann
   El filtro correcto en Wireshark para mostrar todos los paquetes donde interviene esa IP es: ip.addr == 192.168.1.158
   
3. Visualizamos el resultado:[pic 4]
4. Para visualizar correctamente las conversaciones y los datos de usuario, es necesario decodificar el tráfico en formato de mensajería instantánea. Para ello, identificamos un paquete clasificado como SSL y utilizamos la opción "Decode As" para seleccionar el protocolo "AIM". Esto permite que Wireshark interprete la secuencia como mensajes de AOL Instant Messenger y etiquete los paquetes conforme a ese formato.[pic 5]

Como ya hemos decodificado los paquetes correctamente, ahora solo es necesario examinarlos uno por uno para extraer la información relevante y responder a las preguntas planteadas.

RESPUESTAS

1. ¿Cuál es el nombre del amigo de Ann?
   Si vamos al primer paquete codificado como AIM Mesaging (25). Observamos el nombre del amigo de Ann: Sec558user1
   [pic 6]
   
2. ¿Cuál es el primer comentario de la conversación?
   En el mismo paquete, podemos abrir TLV y visualizar el comentario:
   “Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)”
   [pic 7]

1. ¿Cuál es el nombre del archivo transferido?
   Para ver únicamente el tráfico saliente desde la IP de Ann hacia otros destinos, usando el puerto de origen 5190.
   ip.src == 192.168.1.158 && tcp.srcport == 5190
   Observamos que el primer paquete es el 109 y pulsamos sobre botón derecho “Seguir”-“Tcp Stream”, para seguir la secuencia.
   [pic 8]
   Y visualizamos en ASCII, el contenido:
   [pic 9]
   Archivo trasferido: “recipe.docx”
2. ¿Cuáles son los “magic number” del fichero que se quiere extraer (4 primeros bytes)?
   En la información de la imagen anterior ya me está mostrando la información del tipo de fichero “PK” fichero comprimido y busco entre los paquetes para ver donde aparece “PK” para ver los 4 primeros bytes.
   [pic 10]
   Para ver los bytes, solo tengo que hacer clic sobre el comienzo de “PK”, y nos muestra “50 4b 03 04…”.
   
3. ¿Cuál es el MD5 del fichero?
   Vamos a encontrar el hash MD5 de un fichero transmitido a través de la red. Para ello, Wireshark se utiliza para identificar los paquetes que contienen el inicio y el final de la transmisión del fichero. Con esa información se podría reconstruir el fichero y calcular su MD5.
   Paquete 119 ([PSH, ACK]): Este es el paquete marcado como el inicio del fichero debido a la presencia de la firma PK. Contiene los primeros bytes del archivo ZIP.
   Realizo el seguimiento del flujo:
   [pic 11]
   podemos visualizar, cual es el último paquete:
   [pic 12]
   Paquete 131 ([PSH, ACK]): Este es el paquete marcado como el final del contenido del fichero. Contiene la última parte de los datos del archivo.
   Ahora solo nos queda seleccionar el grupo de paquetes, y exportar el fichero.
   [pic 13]                [pic 14]
   Abrimos el fichero exportado. Fichero_Recipe.pcap
   Botón derecho sobre el primer paquete y realizamos seguimiento – tcp stream.
   [pic 15]
   
   Se guarda en formato RAW y se pulsa en guardar como.
   [pic 16]
   
   Anotamos el nombre y tipo de fichero.
   [pic 17]
   Desde Windows PowerShell se pueden usar dos comandos (CertUtil o Get-FileMash) para extraer el hash md5, del fichero docx guardado.
   
   [pic 18]
   Este sería el MD5: 8350582774E1D4DBE1D61D64C89E0EA1
   
4. ¿Cuál es la receta secreta?
5. 
   Si abrimos el fichero guardado, nos aparece la receta:
   [pic 19]

EJERCICIOS DE ANÁLISIS DE TRÁFICO I

...