En este desafío tendremos que realizar una análisis forense de redes con wireshark para obtener informacion sobre el atacante, archivos, origen, comandos.
Comprender el origen geográfico del ataque ayuda a tomar medidas de bloqueo geográfico y al análisis de inteligencia de amenazas. ¿De qué ciudad se originó el ataque?
Conocer el agente de usuario del atacante ayuda a crear reglas de filtrado sólidas. ¿Cuál es el agente de usuario del atacante?
20240109174618.png
20240109174649.png
20240109174716.png
Q3
Necesitamos identificar si se explotaron vulnerabilidades potenciales. ¿Cuál es el nombre del shell web malicioso subido?
20240109180250.png
20240109180330.png
Q4
Conocer el directorio donde se almacenan los archivos cargados es importante para reforzar las defensas contra el acceso no autorizado. ¿Qué directorio utiliza el sitio web para almacenar los archivos cargados?
20240109183012.png
20240109180859.png
Q5
Identificar el puerto utilizado por el shell web ayuda a mejorar las configuraciones del firewall para bloquear el tráfico saliente no autorizado. ¿Qué puerto utilizó el shell web malicioso?
20240109181431.png
20240109181651.png
Q6
Comprender el valor de los datos comprometidos ayuda a priorizar las acciones de respuesta a incidentes. ¿Qué archivo intentaba exfiltrar el atacante?
20240109184422.png
20240109184438.png
20240109184502.png
Esta línea de comando en particular el atacante intenta enviar el contenido del archivo /etc/passwd como datos en una solicitud POST al servidor en la dirección IP 117.11.88.124 en el puerto 443. El archivo /etc/passwd es un archivo de sistema en sistemas operativos basados en Unix/Linux que contiene información sobre cuentas de usuario. ¡VAMOS! Happy hacking :).
