InterCEPTeam, Write Up Reto #20 Eset-la.com by MuR@ No Este es un write plantea mi solución a este reto, el cual consiste en una captura de red en

formato .pcap, la cual contiene el tráfico de una estación de trabajo.

Descripción del Reto En esta ocasión el grupo de seguridad de una empresa, realizó una captura de tráfico a un usuario que

se sospecha que se encuentra robando información. El grupo nos pidió que analizáramos la captura de

red e informar si el usuario es culpable del robo. El desafío 20 consiste en responder las siguientes

preguntas:

• ¿Cuál es la acción que realiza el usuario sospechado, en el tráfico de red?

• ¿En la captura, se puede extraer algún tipo de información?

• ¿El usuario es culpable o inocente?

El archivo interceptado por el grupo de seguridad es el siguiente: desafio-20-ESET (contraseña: “eset-latinoamerica”; MD5:CFAAC0825D626B99C125A61AB2AF30B2 ). Solución Descargamos la captura y procedemos a analizarla con wireshark y observamos que la comunicación

de la estación de trabajo en la red local identificada con la dirección ip 192.168.18.128 es en su mayor

tiempo con el servidor identificado con la dirección ip 216.155.135.201. Mediante la herramienta

nslookup consultamos por su registra “A” para saber cuál es su FQDN asociado, el cual nos devuelve

web001.zshare.net.

Podemos observar que se trata de un servicio de File Hosting (www.zshare.net) el cual nos permite

subir archivos y descargar además de generar un link el cual podemos compartir con cualquier

persona para su descarga, con esto y según las preguntas planteadas en el reto se puede pensar que el

individuo filtro algún tipo de información descargándole de este servidor. Veamos cómo obtener la url

completa de descarga a través de wireshark por medio de filtros.

http contains “www.zshare.net” el cual nos devuelve todos los resultados que coincidan con nuestro

string buscado, la url completa para descarga del archivo es http://www.zshare.net/info.html?95549130

919ababbce0a66aff0c81160143ddca1, igualmente obtenemos el mismo resultado con ip.src 192.168.18.128 y

revisamos los datos enviados a través de protocolo http por la maquina cliente.

El archivo descargado tiene como nombre privado.zip, pero al momento de desempaquetarlo nos pide

una contraseña, para esto utilizamos un brute forcé para archivos .zip (Rarcrak) que se instala de la

forma típica make, make install, se correo con la opciones por defecto rarcrack

/home/t3st3r/Downloads/privado.zip --type zip

RarCrack! 0.2 by David Zoltan Kedves (kedazo@gmail.com)

INFO: the specified archive type: zip

INFO: cracking /home/t3st3r/Downloads/privado.zip, status file:

/home/t3st3r/Downloads/privado.zip.xml

Probing: '7N' [181 pwds/sec]

Probing: 'gY' [189 pwds/sec]

Probing: 'qy' [198 pwds/sec]

Probing: 'Ag' [200 pwds/sec]

Probing: 'JW' [200 pwds/sec]

Probing: 'SS' [184 pwds/sec]

Probing: '02c' [192 pwds/sec]

Probing: '0bw' [192 pwds/sec]

Probing: '0kt' [185 pwds/sec]

Probing: '0tS' [194 pwds/sec]

Probing: '0D8' [191 pwds/sec]

Probing: '0N6' [206 pwds/sec]

Probing: '0WR' [201 pwds/sec]

GOOD: password cracked: '100'

Dentro se encuentra un archivo llamado Texto.txt y su contenido es “Que la fuerza te acompañe”

Dando respuestas a las preguntas planteadas:

1. La acción realizada es la navegación a sitios de File Hosting y redes sociales, las cuales por

políticas de la empresa pueden estar restringidas.

2. No directamente en la captura, siguiendo las conexiones del host implicado se ouede

descargar un archivo desde una web de file Hosting

3. No se puede determinar ya que el archivo en si solo cuenta con un mensaje inofensivo.

Saludos MuR@No