Laboratorio DanaBot - CyberDefenders
{width=“6.267716535433071in”
height=“1.4166666666666667in”}
El equipo de SOC ha detectado actividad sospechosa en el tráfico de la red, revelando que una máquina ha sido comprometida.
Se ha robado información confidencial de la empresa. Su tarea es utilizar archivos de captura de red (PCAP) e inteligencia de amenazas para investigar el incidente y determinar cómo ocurrió la violación.
Introducción
En este laboratorio, profundizamos en una investigación forense de redes para analizar un ciberataque que involucra al Dana Bot malware.
El SOC El equipo (Centro de Operaciones de Seguridad) ha identificado actividad sospechosa dentro del tráfico de la red, lo que revela que una máquina en la red ha sido comprometida.
Esta violación ha provocado la exfiltración de datos confidenciales de la empresa.
Como analista de ciberseguridad, su objetivo es investigar el incidente utilizando un PCAP Archivo (Captura de paquetes) e inteligencia de amenazas asociada para descubrir cómo ocurrió el compromiso e identificar detalles clave sobre el ataque.
El laboratorio se centra en analizar las tácticas, técnicas y procedimientos (TTP) utilizados por el atacante, incluido el reconocimiento, el acceso inicial, la ejecución y la persistencia.
Utilizarás Wireshark para extraer y analizar artefactos críticos de la red, como archivos maliciosos y comunicación con servidores externos.
Al desofuscar el código JavaScript y examinar los artefactos relacionados, descubrirá cómo el malware se afianzó en la red, ejecutó cargas útiles adicionales y mantuvo su presencia.
Este laboratorio brinda una oportunidad integral para practicar habilidades forenses del mundo real y obtener conocimientos más profundos sobre cómo detectar y responder a sofisticados ataques de malware.
Análisis
P1 ¿Qué dirección IP utilizó el atacante durante el acceso inicial?
Al analizar el archivo PCAP, podemos ver una solicitud DNS realizada a portfolio.serveirc.com.
{width=“6.267716535433071in”
height=“2.861111111111111in”}
La respuesta a la consulta devuelve la dirección IP 62.173.142.148. Cuando buscas este dominio en Virus Total, se identifica como malicioso.
{width=“6.267716535433071in”
height=“1.7222222222222223in”}
Q2 ¿Cuál es el nombre del archivo malicioso utilizado para el acceso inicial?
Para comenzar a investigar el incidente que involucró al malware Dana Bot, comenzamos analizando el archivo de captura de red usando Wireshark.
El objetivo principal es identificar el archivo malicioso utilizado para el acceso inicial. Primero comenzamos examinando los archivos en la función de exportación de objetos HTTP de Wireshark.
Se puede acceder a esto navegando a File → Export Objects → HTTP.
{width=“6.267716535433071in”
height=“3.0416666666666665in”}
Al revisar los objetos HTTP exportados, se crea un archivo llamado login.php destaca por ser su tipo de contenido application/octet-stream, lo que indica que podría no ser un archivo PHP simple sino que podría contener datos codificados u ofuscados.
El application/octet-stream El tipo MIME es un tipo de archivo binario genérico que se utiliza para representar datos sin procesar que no entran en categorías específicas como texto, imágenes o formatos específicos de la aplicación.
A menudo se utiliza cuando se desconoce la naturaleza del contenido o el navegador web no puede interpretarlo directamente.
Este tipo es común en escenarios donde archivos, como ejecutables, scripts ofuscados o datos codificados, se transfieren a través de HTTP.
En el contexto de una actividad maliciosa, los archivos etiquetados como application/octet-stream A menudo son sospechosos, ya que pueden contener cargas útiles como malware o scripts destinados a ser explotados.
La falta de especificidad en el tipo MIME es una de las razones por las que los atacantes lo utilizan para evadir los mecanismos de detección.
Para validar la sospecha sobre login.php, descargue el archivo del flujo HTTP y analícelo más a fondo en un entorno forense.
Corriendo el file comando en Linux activado login.php revela que es un archivo JavaScript de gran tamaño (5558 bytes) y no tiene terminadores de línea, una característica a menudo asociada con JavaScript ofuscado o minimizado.
{width=“6.267716535433071in”
height=“3.0in”}
{width=“6.267716535433071in”
height=“3.1666666666666665in”}
Para darle sentido a este JavaScript, necesitamos desofuscar.
Los scripts ofuscados se utilizan comúnmente en malware para ocultar la verdadera intención del código.
Uso de herramientas de de desofuscación en línea como esta sitio web ayuda a revelar su funcionalidad.
{width=“5.848958880139983in”
height=“2.793532370953631in”}
El script desofuscado en este caso muestra que aprovecha objetos ActiveX para realizar actividades maliciosas.
En concreto, el script incluye comandos para descargar otro archivo, llamado resources.dll, de un dominio (soundata.top) y luego lo ejecuta usando rundll32.exe, una herramienta de sistema legítima de la que a menudo se abusa para la ejecución de malware.
El guión también se borra a sí mismo después de su ejecución, una técnica antiforense diseñada para dificultar el análisis.
Para obtener el recurso de solicitud del servidor del atacante, necesitamos inspeccionar el flujo HTTP que sirvió login.php archivo.
{width=“6.267716535433071in”
height=“3.111111111111111in”}
La captura de pantalla muestra la interacción entre el sistema comprometido y el servidor malicioso.
Específicamente, la solicitud HTTP GET se realiza al recurso /login.php alojado en el dominio portfolio.serverirc.com.
La respuesta del servidor tiene una Content-Type de application/octet-stream, lo que confirma que el servidor está entregando datos binarios o codificados.
Además, el encabezado Content-Disposition especifica el nombre del archivo como allegato_708.js, indicando que se trata de un archivo JavaScript que se sirve como archivo adjunto.
En el cuerpo de la respuesta, el código JavaScript está muy ofuscado y se caracteriza por nombres de variables largos y caracteres aleatorios.
Esta ofuscación es consistente con los hallazgos anteriores e indica que el actor malicioso está intentando ocultar la funcionalidad del script para evadir la detección y el análisis.
P3 ¿Cuál es el hash SHA-256 del archivo malicioso utilizado para el acceso inicial?
El hash SHA-256 del archivo malicioso utilizado para el acceso inicial se puede calcular utilizando el siguiente comando bash.
sha256sum login.php
{width=“6.267716535433071in”
height=“3.0in”}
Resultando en el valor hash:
847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268.
Esto identifica de forma única el login.php archivo, que se ha confirmado que contiene JavaScript ofuscado malicioso.
El hash es un proceso criptográfico que toma una entrada (en este caso, el login.php archivo) y produce una cadena de caracteres de longitud fija, que es exclusiva del contenido específico de la entrada. SHA-256 (Algoritmo hash seguro de 256 bits) se utiliza ampliamente debido a su resistencia a colisiones, lo que significa que dos archivos diferentes casi nunca producirán el mismo hash.
En seguridad, los hashes se utilizan para diversos fines, como verificar la integridad del archivo (para garantizar que un archivo no haya sido alterado), identificar muestras de malware y ayudar en la respuesta a incidentes al permitir a los analistas comparar hashes con bases de datos de inteligencia de amenazas para confirmar la naturaleza de los archivos sospechosos.
En este escenario, el hash SHA-256 sirve como huella digital del archivo malicioso, permitiendo su identificación y seguimiento en investigaciones de ciberseguridad.
Q4 ¿Qué proceso se utilizó para ejecutar el archivo malicioso?
El proceso utilizado para ejecutar el código JavaScript malicioso es WScript.exe. Basado en el JavaScript desofuscado analizado anteriormente, el script está diseñado para ejecutarse utilizando Windows Script Host (WSH), específicamente a través de WScript.exe, que es el intérprete predeterminado para .js archivos en sistemas Windows.
Esto es evidente por la dependencia del guión WScript objetos como WScript.CreateObject, que son parte integral de la funcionalidad de WSH.
{width=“6.267716535433071in”
height=“2.9722222222222223in”}
Cuando se ejecuta el archivo JavaScript, WScript.exe procesa el código, iniciando los comandos integrados en él.
Por ejemplo, el script desofuscado utiliza WScript.CreateObject para invocar utilidades del sistema, como crear un objeto HTTP para descargar el resources.dll archivo, y posteriormente ejecutarlo vía rundll32.exe.
Usando WScript.exe, el malware garantiza la compatibilidad con el entorno Windows y aprovecha las funciones de script integradas para ejecutar su carga útil.
Q5 ¿Cuál es la extensión del segundo archivo malicioso utilizado por el atacante?
Como se puede ver en el análisis anterior, el segundo archivo que fue descargado por el script ofuscado es resources.dll y tiene un .dll extensible.
Q6 ¿Cuál es el hash MD5 del segundo archivo malicioso?
Extraer el archivo de WireShark’s flujo de objetos HTTP como lo hicimos en la pregunta 1 con el login.php archivo, luego calcule el hash de la DLL usando el siguiente comando:
recursos md5sum.dll
{width=“6.267716535433071in”
height=“3.0in”}
El calculado md5 El hash de la DLL es e758e07113016aca55d9eda2b0ffeebe.