Caso Practico Modulo Ciberinteligencia
Enviado por Omar Romero • 22 de Junio de 2022 • Tarea • 2.904 Palabras (12 Páginas) • 1.160 Visitas
[pic 1]
Módulo | Ciberinteligencia |
Nombre y apellidos | Carlos Blanco |
Fecha de entrega | 14 de enero de 2021 |
[pic 2][pic 3]Caso práctico
Enunciado
Trabajas en el equipo de Análisis e Inteligencia de ciberseguridad en la empresa Ficticy SL, una multinacional dedicada a la venta de viviendas.
CASO 1: El día 23 de noviembre de 2017 a las 10:00 am
El día 23 de noviembre de 2017 a las 10:00 am recibes un correo electrónico desde una cuenta de correo corporativa de otro país, en el que se facilita un enlace a un sitio web sospechoso.
1.- La cuenta desde la que se envía ese mensaje es: “m.walker.franch@ficticy.de”.
2.- El asunto del correo es: FW: Validate Email Account
3.- El cuerpo del mensaje es:
This is to notify all employees that we are validating active accounts. Please, confirm that your account is still in use by clicking the validation link below:
Validate Email Account
Cheers,
4.- El código del sitio web se encuentra en la carpeta “caso 1”.
5.- Al comentarlo con el resto de compañeros del equipo, todos ellos explican que han recibido el mismo email. A continuación, empiezan a llegar incidencias de los empleados de la compañía reportando la recepción del email, indicando que les parece sospechoso. A continuación, empiezan a llegar incidencias de los empleados de la compañía reportando la recepción del email, indicando que les parece sospechoso.
- Logs de emails recibidos por la cuenta “m.walker.franch@ficticy.de”.
- Código del sitio web (directorio “caso 1”).
CASO 2: Unas horas más tarde, a las 13:00
Unas horas más tarde, a las 13:00, recibes la noticia de que se ha realizado una transferencia a una cuenta inusual y que el proveedor pendiente de recibir ese pago se ha quejado porque no lo ha recibido.
Al contactar con los empleados del departamento de transferencias (a continuación, se detallan sus datos), todos confirman haber estado trabajando durante toda la semana en la oficina, siempre utilizando la red corporativa y la VPN para el uso de herramientas. Sin embargo, los tres trabajadores afirman haber recibido correos sospechosos esta semana.
Empleados del departamento de transferencias
- Nombre: María Protector Fresco | Email: m.protector.fresco@ficticy.es | Puesto: Responsable del departamento de nóminas | Redes sociales utilizadas: Facebook, Twitter, Linkedin, Instagram.
- Nombre: Juan Philips Todobene | Email: j.philips.todobene@ficticy.es | Puesto: Responsable de pagos y transferencias | Redes sociales utilizadas: Facebook, Linkedin, Infojobs.
- Nombre: Sofía Labial Guest | Email. s.labial.guest@ficticy.es | Puesto: Asistente de pagos y transferencias | Redes sociales utilizadas: Facebook, Linkedin, Infojobs, Tuenti.
Información facilitada para el análisis
- Logs de correos recibidos.
- Logs de acceso a las cuentas de correo.
- Logs del MTA.
- Correos sospechosos reportados por los empleados.
- Para obtener la contraseña de dicho ZIP, se debe identificar el ID del correo fraudulento.
CASO 3: Para acabar el día, a las 15:00
Para acabar el día, a las 15:00, empiezan a generarse múltiples alertas en los sistemas de endpoint indicando el siguiente mensaje:
Mensaje sistema endpoint
“# C:\WINDOWS\mssecsvc.exe # Ransom-WannaCry!7339A0EFC768 # trojan # deleted # 1 # VIRUS_DETECTED_REMOVED # VIRUSCAN8800 # VirusScan Enterprise #”
Al mismo tiempo, comienzan a cifrarse archivos de múltiples equipos, a los que se les va añadiendo la extensión “.wncry”.
De cara al análisis del incidente, se dispone de la siguiente información
Logs de ePO.
Ejemplo de ficheros creados en los sistemas infectados.
Capturas de pantalla de la configuración del Firewall.
Logs del Firewall.
Se pide
Para la resolución del ejercicio se pide responder a los siguientes puntos en un reporte detallado:
Para que el ejercicio pueda considerarse como resuelto, se debe presentar un reporte detallado de todo el análisis realizado para responder a las consultas planteadas.
1-. Identificar qué tipo de incidente se ha podido producir en cada uno de los 3 casos.
CASO 1: Phishing + (Se descarta spoofing de correo debido a que los correos fueron enviados desde la red interda), sin embargo la estación de trabajo de la persona que envía el correo podría estar contagiada con un malware que utiliza la cuenta de correo para el envío de dichos correos.
CASO 2: Spoofing de correo + CEO Fraud
CASO 3: Malware/Ransomware (WannaCry)
2.- Identificar, analizar y detallar con todo lujo de detalles en el primer caso:
- ¿Cómo se ha podido producir el suceso?
Análisis detallado:
El día 23 de noviembre de 2017 a las 10:00 am
El día 23 de noviembre de 2017 a las 10:00 am recibes un correo electrónico desde una cuenta de correo corporativa de otro país, en el que se facilita un enlace a un sitio web sospechoso.
1.- La cuenta desde la que se envía ese mensaje es: “m.walker.franch@ficticy.de”.
Análisis específico: Al recibir un correo electrónico desde una cuenta de correo corporativo de otro país, a primera vista podría significar que el remitente es válido y que el correo tiene un contexto dentro de las actividades de la empresa. Sin embargo
2.- El asunto del correo es: FW: Validate Email Account
Análisis específico: El asunto podría indicar que se está reenviando el correo a una determinada cuenta para que se confirme la cuenta de correo del usuario.
Hasta el momento no habría un motivo en firme para sospechar de la veracidad o buena intención del correo.
3.- El cuerpo del mensaje es:
This is to notify all employees that we are validating active accounts. Please, confirm that your account is still in use by clicking the validation link below:
...