ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Caso Practico Modulo Ciberinteligencia


Enviado por   •  22 de Junio de 2022  •  Tarea  •  2.904 Palabras (12 Páginas)  •  1.160 Visitas

Página 1 de 12

[pic 1]

Módulo

Ciberinteligencia

Nombre y apellidos

Carlos Blanco

Fecha de entrega

14 de enero de 2021

[pic 2][pic 3]Caso práctico

Enunciado

Trabajas en el equipo de Análisis e Inteligencia de ciberseguridad en la empresa Ficticy SL, una multinacional dedicada a la venta de viviendas.

CASO 1: El día 23 de noviembre de 2017 a las 10:00 am

El día 23 de noviembre de 2017 a las 10:00 am recibes un correo electrónico desde una cuenta de correo corporativa de otro país, en el que se facilita un enlace a un sitio web sospechoso.

1.- La cuenta desde la que se envía ese mensaje es: “m.walker.franch@ficticy.de”.

2.- El asunto del correo es: FW: Validate Email Account

3.- El cuerpo del mensaje es:

This is to notify all employees that we are validating active accounts. Please, confirm that your account is still in use by clicking the validation link below:

Validate Email Account

Cheers,

4.- El código del sitio web se encuentra en la carpeta “caso 1”.

5.- Al comentarlo con el resto de compañeros del equipo, todos ellos explican que han recibido el mismo email. A continuación, empiezan a llegar incidencias de los empleados de la compañía reportando la recepción del email, indicando que les parece sospechoso. A continuación, empiezan a llegar incidencias de los empleados de la compañía reportando la recepción del email, indicando que les parece sospechoso.

  • Logs de emails recibidos por la cuenta “m.walker.franch@ficticy.de”.
  • Código del sitio web (directorio “caso 1”).

CASO 2: Unas horas más tarde, a las 13:00

Unas horas más tarde, a las 13:00, recibes la noticia de que se ha realizado una transferencia a una cuenta inusual y que el proveedor pendiente de recibir ese pago se ha quejado porque no lo ha recibido.

Al contactar con los empleados del departamento de transferencias (a continuación, se detallan sus datos), todos confirman haber estado trabajando durante toda la semana en la oficina, siempre utilizando la red corporativa y la VPN para el uso de herramientas. Sin embargo, los tres trabajadores afirman haber recibido correos sospechosos esta semana.

Empleados del departamento de transferencias

  • Nombre: María Protector Fresco | Email: m.protector.fresco@ficticy.es | Puesto: Responsable del departamento de nóminas | Redes sociales utilizadas: Facebook, Twitter, Linkedin, Instagram.
  • Nombre: Juan Philips Todobene | Email: j.philips.todobene@ficticy.es | Puesto: Responsable de pagos y transferencias | Redes sociales utilizadas: Facebook, Linkedin, Infojobs.
  • Nombre: Sofía Labial Guest | Email. s.labial.guest@ficticy.es | Puesto: Asistente de pagos y transferencias | Redes sociales utilizadas: Facebook, Linkedin, Infojobs, Tuenti.

Información facilitada para el análisis

  • Logs de correos recibidos.
  • Logs de acceso a las cuentas de correo.
  • Logs del MTA.
  • Correos sospechosos reportados por los empleados.
  • Para obtener la contraseña de dicho ZIP, se debe identificar el ID del correo fraudulento.

CASO 3: Para acabar el día, a las 15:00

Para acabar el día, a las 15:00, empiezan a generarse múltiples alertas en los sistemas de endpoint indicando el siguiente mensaje:

Mensaje sistema endpoint

“# C:\WINDOWS\mssecsvc.exe # Ransom-WannaCry!7339A0EFC768 # trojan # deleted # 1 # VIRUS_DETECTED_REMOVED # VIRUSCAN8800 # VirusScan Enterprise #”

Al mismo tiempo, comienzan a cifrarse archivos de múltiples equipos, a los que se les va añadiendo la extensión “.wncry”.

De cara al análisis del incidente, se dispone de la siguiente información

Logs de ePO.

Ejemplo de ficheros creados en los sistemas infectados.

Capturas de pantalla de la configuración del Firewall.

Logs del Firewall. 

Se pide

Para la resolución del ejercicio se pide responder a los siguientes puntos en un reporte detallado:

Para que el ejercicio pueda considerarse como resuelto, se debe presentar un reporte detallado de todo el análisis realizado para responder a las consultas planteadas.

1-. Identificar qué tipo de incidente se ha podido producir en cada uno de los 3 casos.

CASO 1: Phishing + (Se descarta spoofing de correo debido a que los correos fueron enviados desde la red interda), sin embargo la estación de trabajo de la persona que envía el correo podría estar contagiada con un malware que utiliza la cuenta de correo para el envío de dichos correos.

CASO 2: Spoofing de correo + CEO Fraud

CASO 3: Malware/Ransomware (WannaCry)

2.- Identificar, analizar y detallar con todo lujo de detalles en el primer caso:

  • ¿Cómo se ha podido producir el suceso?

Análisis detallado:

El día 23 de noviembre de 2017 a las 10:00 am

El día 23 de noviembre de 2017 a las 10:00 am recibes un correo electrónico desde una cuenta de correo corporativa de otro país, en el que se facilita un enlace a un sitio web sospechoso.

1.- La cuenta desde la que se envía ese mensaje es: “m.walker.franch@ficticy.de”.

Análisis específico: Al recibir un correo electrónico desde una cuenta de correo corporativo de otro país, a primera vista podría significar que el remitente es válido y que el correo tiene un contexto dentro de las actividades de la empresa. Sin embargo

2.- El asunto del correo es: FW: Validate Email Account

Análisis específico: El asunto podría indicar que se está reenviando el correo a una determinada cuenta para que se confirme la cuenta de correo del usuario.

Hasta el momento no habría un motivo en firme para sospechar de la veracidad o buena intención del correo.

3.- El cuerpo del mensaje es:

This is to notify all employees that we are validating active accounts. Please, confirm that your account is still in use by clicking the validation link below:

...

Descargar como (para miembros actualizados) txt (20 Kb) pdf (785 Kb) docx (1 Mb)
Leer 11 páginas más »
Disponible sólo en Clubensayos.com