CCNA: Cybersecurity Operations. Análisis del Exploit Kit Angler

Para la practica final del curso CCNA: Cybersecurity Operations que pude realizar gracias a haber conseguido el acceso a las Becas Digitaliza de Cisco, realizamos el análisis de un Exploit Kit, concretamente Angler. A continuación el análisis que realicé por mi parte. Tened en cuenta que no tiene por ser 100% verídico, y que puede haber cosas que no sean del todo correctas conceptual o técnicamente hablando, pues bien es cierto que en este tema soy de momento un aprendiz.

Espero que de alguna manera sirva para ayudar a aclarar algunas dudas a quienes hayan realizado el curso, o que estén analizando el comportamiento de Angler EK.

La practica se realiza analizando eventos principalmente en SGUIL, aunque también se hace uso de ELSA.

Análisis inicial

En este ataque por lo que se puede ver se producen 11 eventos relacionados, los cuales SNORT es capaz de detectar correctamente:

Sigue leyendo “CCNA: Cybersecurity Operations. Análisis del Exploit Kit Angler”

La CIA te echa una mano con Wireshark. Vault 7

wikileaks-796x398
Imagen 1. “Year Zero” , primera parte de Vault7. 

Hace poco con las revelaciones de Wikileaks: Vault 7, y en su primera parte, denominada “Year Zero“, con mas de 8000 archivos filtrados de la CIA, donde se desvela el fuerte espionaje electrónico propiciado por la Agencia Central de Inteligencia, me encontré con un documento en el cual a la CIA parece haberle tocado sufrir el típico error que salta cuando en Ubuntu ejecutas Wireshark sin ser usuario Root, que no se ve ninguna interfaz, pues para ayudar a solventar el dichoso problema, hay un fichero por ahí dentro de los 8000, con la siguiente información:

Crear un grupo para Wireshark

Sigue leyendo “La CIA te echa una mano con Wireshark. Vault 7”

Desbordamiento de la tabla CAM para Sniffing de datos

En los Switchs existe una relación directa entre el puerto y las direcciones MAC de los dispositivos conectados directamente, por ejemplo: cuando se conecta un dispositivo a un puerto ‘X’ de un switch y este envía una trama, la MAC origen queda registra en dicho puerto, lo siguiente que realiza el switch es visualizar la dirección MAC destino y buscar en la tabla CAM (Content-addressable memory) esa dirección MAC y que puerto tiene asociado para reenviar la trama a dicho puerto, si no encuentra una asociación envía la trama por todos los puertos ( también denominado: por saturación ), excepto por el puerto de entrada de la trama. Cuando el dispositivo al que iba dirigido la trama responde, el Switch coge la dirección MAC origen y la asocia al puerto por donde se recibió la trama.

Pero esta tabla de manera determinada no asocia las direcciones a dichos puertos para siempre, existe un temporizador, normalmente de 5 minutos, después de estos 5 minutos la asociación desaparece si no se ha recibido una trama con la dirección MAC origen.

Sigue leyendo “Desbordamiento de la tabla CAM para Sniffing de datos”

Subredes y sub-subredes o VLSM en IPv4

SUBREDES EN IPV4

Cuando nos disponemos a crear una red es muy importante el direccionamiento IP a seleccionar, pues hay que pensar en: la cantidad de hosts que tendrá la red, si es posible que se vayan a generar subredes, si es posible que el tamaño de la red crezca con el pasar del tiempo y si ese direccionamiento será capaz de abarcar y cubrir dicha expansión.

Es muy importante, para evitar posibles incovenientes en el futuro, asignar correctamente una clase, bien si será C  (192.168.0.0/16) o bien si será una Clase B (172.16.0.0/12 – 172.31.0.0/12), ya que asignar una clase C cuando debiamos haber asignado una B, puede suponer un error grave en la gestión y administración de la red.

En numerosas ocasiones es recomendable la creación de subredes, por ejemplo, en el caso de que existan varios departamentos, o que tengamos un punto de acceso donde este proporcionando conexión a internet a usuarios externos.

Sigue leyendo “Subredes y sub-subredes o VLSM en IPv4”

GNS3, IOU, VirtualBox Y Wireshark

En ocasiones anteriores habréis visto como genero y administro redes virtuales privadas con sistemas operativos virtualizados, al igual que también lo hago con algunos Switch Cisco. Lo que me gustaría hoy es explicar como instalar y configurar un entorno como tal.

Para empezar descargaremos GNS3 desde aquí y posteriormente Virtualbox desde aquí, eligiendo los binarios correspondientes para nuestro S.O, también descagaremos Wireshark, aunque en este caso es prescindible, viene muy bien para cuando querramos realizar una captura de paquetes en un enlace virtual, como cuando capturamos paquetes ICMP para comprobar el correcto funcionamiento de las VLAN, así que si no lo tenemos instalado, al instalar GNS3 nos dará la opción de hacerlo. Una vez instalados los programas a golpe de Next Next, pasaremos a configurar GNS3: Al abrirlo nos saldrá el asistente de configuración inicial, lo primero que haremos será seleccionar la primera opción, “Local GNS3 VM”, ya que luego instalaremos la maquina virtual de GNS3.

Sigue leyendo “GNS3, IOU, VirtualBox Y Wireshark”