Advent of Cyber 2024 – Día 2: ¿Positivos reales o falsos positivos?
CTF / Practica

Advent of Cyber 2024 – Día 2: ¿Positivos reales o falsos positivos?

itemprop="discussionURL"Leave a comment

En este reto ayudaremos al equipo del SOC de Wareville a analizar alertas y determinar si representan verdaderos positivos (TP) o falsos positivos (FP). Seguiremos un enfoque paso a paso para resolver el incidente, asegurándonos de identificar patrones, correlacionar eventos y analizar comandos sospechosos.

1. Configurar el entorno

  1. Inicia la máquina virtual proporcionada en TryHackMe haciendo clic en el botón “Start Machine”.
  2. Una vez que la máquina esté lista (aproximadamente 5 minutos), accede al Elastic SIEM mediante la URL y las credenciales proporcionadas:
    • URL: https://LAB_WEB_URL.p.thmlabs.com
    • Usuario: elastic
    • Contraseña: elastic

2. Filtrar eventos relevantes

  1. Dirígete a la pestaña Discover en el menú superior izquierdo.
  2. Configura el intervalo de tiempo a 1 de diciembre de 2024, entre las 09:00 y las 09:30:
    • Haz clic en el icono de configuración de tiempo en la esquina superior derecha.
    • Selecciona la pestaña “Absolute”.
    • Establece la fecha y hora específicas.
    • Haz clic en “Update”.
  3. Agrega las siguientes columnas a los resultados para hacerlos más legibles:
    • host.hostname: Para identificar el nombre del host donde se ejecutó el comando.
    • user.name: Para ver quién realizó la actividad.
    • event.category: Para asegurarnos de que estamos viendo la categoría correcta.
    • process.command_line: Para ver los comandos ejecutados con PowerShell.
    • event.outcome: Para verificar si la actividad tuvo éxito.

3. Correlacionar eventos

  1. Observa los resultados y analiza el patrón: nota que antes de cada ejecución del comando PowerShell, hay eventos de autenticación exitosos.
  2. Agrega la columna source.ip para identificar la IP de origen que ejecutó los comandos PowerShell.
  3. Filtra los eventos de autenticación seleccionando el signo “+” al lado de event.category para mostrar solo eventos de autenticación.
  4. Expande el rango de tiempo para investigar eventos históricos desde el 29 de noviembre al 1 de diciembre de 2024 y analiza el historial del usuario identificado.

4. Analizar el comando PowerShell

  1. Observa el campo process.command_line para ver el comando PowerShell codificado.
  2. Copia la parte codificada del comando (tras -EncodedCommand).
  3. Decodifica el comando usando CyberChef:
    • Usa la receta FromBase64 y selecciona Decode text.
    • Configura la codificación a UTF-16LE (1200).
  4. Analiza el resultado para comprender el propósito del comando.

5. Responder a las preguntas

Usa la información obtenida en los pasos anteriores para responder a las siguientes preguntas del reto:

  1. ¿Cuál es el nombre de la cuenta que causa los intentos de inicio de sesión fallidos?
    • Busca en el campo user.name.
  2. ¿Cuántos intentos de inicio de sesión fallidos se observaron?
    • Filtra por eventos fallidos y cuenta el total.
  3. ¿Cuál es la dirección IP de Glitch?
    • Busca la IP asociada a los eventos de inicio de sesión exitosos que preceden a los comandos PowerShell.
  4. ¿Cuándo logró Glitch iniciar sesión correctamente en ADM-01?
    • Busca el evento de inicio de sesión exitoso en el host ADM-01.
  5. ¿Cuál es el comando decodificado ejecutado por Glitch?
    • Usa el resultado de CyberChef para obtener el comando completo.

6. Conclusión

El análisis detallado reveló que Glitch estaba ayudando a solucionar un problema de credenciales desactualizadas, mientras que otros actores intentaban comprometer los sistemas. Este reto subraya la importancia de la correlación de eventos y el análisis contextual en la ciberseguridad.

¡Gran trabajo ayudando a proteger Wareville! 🎄

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *