Write-ups

Resolución Laboratorio Forense Nematodos


Trabajas como analista en un Centro de Operaciones de Seguridad (SOC) para un centro de investigación médica en nematodos. Las alertas sobre el tráfico de tu red indican que alguien a sido infectado. No sabes que es mas repugnante, Los nematodos o el malware.

¿Cuál es la dirección IP del host infectado?

Es la dirección local usada por el equipo durante el tráfico malicioso. Identificada observando conexiones salientes (http y dns).

¿Cuál es la dirección MAC de la victima?

Para verificar la MAC origen del host infectado, se filtró el tráfico con eth.src , ip.src y se verifico la MAC origen en las tramas Ethernet.

¿Cuál es el HostName del equipo de la victima?

Recuperado desde el paquete llmnr, donde el sistema anuncia su nombre (Queries).

¿Cuál es el nombre de la cuenta del usuario de Windows infectado?

El nombre de la cuenta de Windows del usuario infectado se obtuvo revisando los mensajes Kerberos TGS-REP donde aparece el campo CNameString, Revelando la cuenta.

¿Cuál es el dominio malicioso usado en la infección (FakeUpdate/ZPHP)?

Dominio tipo «mod/cracked»  típico de sitios usados para distribuir malware o payloads disfrazados de aplicaciones hackeadas.

VirusTotal lo clasifica como malicioso (phishing/malicious).

No corresponde a ningún servicio legítimo del sistema operativo.

La víctima lo consulta poco antes de las conexiones HTTP sospechosas.

¿Cuál es el sitio probablemente comprometido?

No es un dominio malicioso original, fue explotado como sitio intermediario / redirección.

¿Cuál es la IP y URL del C2 del malware?

Frame: 20340
Hora: 04:50:45
Origen: 10.11.26.183 (víctima)
Destino: 194.180.191.64 (servidor atacante)
Protocolo: HTTPS (puerto 443)
Método: POST
Contenido: application/x-www-form-urlencoded

¿Por qué este paquete es tan importante?

Este POST es la comunicación del NetSupport RAT al servidor atacante.

Esta enviando datos cifrados (porque es HTTPS).

La URL fakeurl.html es usada específicamente por FakeUpdate/ZPHP/SmartApeSG.

Este IOC (Indicators of Compromise) #1 es absolutamente crítico.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *