Capturar ataque SSH desde China y cont. Solución Ejercicio aprendiendo analizar tráfico.

Frame 28: Una consulta DNS a javadl-esd-secure.oracle.com en resumen una actualización del JAVA.

Frame 33: Son tramas anunciando tráfico CMPv6 de un router que hay en la red.

Frame 83: Es tráfico broadcast de respuesta o acuse de recibo a una petición DHCP, se ve perfectamente el DHCP ACK, he cortado la imagen pero si no lo hubiera hecho se vería en el panel de detalle el dominio de la red que estoy usando por ejemplo estamosaprendiendo.net

Frame 95: Es uno de los cinco tipos de mensajes SNMP intercambiados entre los Agentes y los Administradores. Get Request, consiste en una petición del Administrador al Agente para que envíe los valores contenidos en el MIB (base de datos).

No vemos una respuesta en cualquier parte del archivo de rastreo, esto que parece muy simple a la vez es muy interesante.
Al parecer, el anfitrión del laboratorio está configurado para buscar una impresora de red, pero no existe esa impresora. Suponemos que tenemos que limpiar un poco la configuración de ese host ¿no?,
ya que estamos podemos ir limpiando la red de tráfico basura.

Frame 96: En un ejercicio anterior en este blog ya habíamos reconocido el protocolo de Dropbox, en esta trama está lanzando dropbox su sincronización, Lan Sync Discovery Protocol (DB-LSP).

Frame 118, 121 y 134: EL host que analizamos en esta ip, descubrimos que tienen instalada la aplicación para backups MEMEO (un poco de publicidad gratuita para ellos) http://memeo.com/en/premium-backup/features/?affChecked=1

YA SE QUE EN CASTELLANO NO ES EL MEJOR NOMBRE DEL MUNDO, YO TAMBIEN MEMEO, VUELVO AHORA …

Esta vez si os he capturado la pantalla del panel de detalle de esos frames para que lo pudieseis detectar.

En el 121 el tráfico de ida a www.memeo.info y el 134 con api.memeo.info

Esto que estamos haciendo es capturar y analizar el tráfico normal de la red, el más común para clasificarlo y conocer que corre por nuestros «medios» cables, wifi, nuestro adentro …

Ahora debemos pasar a analizar lo anormal, nuestro jefe y si eres jefe seguro que tienes otro jefe o ahí o en casa J nada era una coñita, me refiero al FRAME 411 del post anterior del ejercicio.

Frame 411: Aquí quería que llegarais todos, con wireshark acabamos de pillar unos ataques a nuestra red. SE puede usar muchas aplicaciones para Linux, pero monitorizando hemos visto este tráfico ANORMAL.

El protocolo es SSH, el puerto destino es el 22 y no es un servidor de nuestra red, el puerto de origen es aleatorio un 23888 y la ip una 183.63.31.122

Esa ip no es normal en la cabecera Ip de nuestra red, vamos a investigarla.

Status

ALLOCATED

Contact Email

Registrant

CHINANET Guangdong province network
CHINANET-GD
Data Communication Division
China Telecom
CHINA

Vaya vaya, en realidad estamos teniendo muchos ataques de este tipo de Ip del rango de China al SSH, investigando con nmap, y google maps, aunque de mano nos lleva a Shangai, en realidad no paramos de saltar de un sitio a otro.

Creemos que son aplicaciones Proxy que usan este servicio para entrar a nuestros Apache y utilizar sus vulnerabilidades como proxy para la navegación y así evitar la censura que allí ahí.

Comprobar que tenéis analizado vosotros del ejercicio que os deje y ahora comparar.

Saludos y hasta otro momento.

 

Solución ejercicio aprendiendo analizar tráfico de red.

En el Frame 1 si nos vamos alguna herramienta online tipo http://www.ip-adress.com/ip_tracer/67.217.65.244 nos da que pertenece a Citrix y así es, para este laboratorio se usaron aplicaciones de Citrix.

Frame 25, hay un host probablemente con Windows 7 que usa el stack o pila de protocolo IpV6, nos está mostrando las solicitudes de este protocolo ICMPv6 hacia sus vecinos (neighbor notifications).

Frame 27, esto es algo relativamente nuevo para muchos y desconocido por otros tantos, un protocolo de Windows llamado Browser que da mucha información sobre la víctima, quiero decir sobre la máquina. Se llama Browser, podemos ver que el host recibe el nombre de VID02 y si nos fuéramos al panel de detalle, podemos averiguar mucho más, os dejo un copy&paste de: http://www.rinconinformatico.net donde explica muy bien este protocolo y la información que nos da al analizarlo con wireshark, lo veo muy apropiado al post y seguirnos a posterior con el resto del ejercicio, leerlo por favor.

**********************************************************************

Microsoft Windows Browser Protocol, la verdad no conocía este protocolo de red, fue desarrollado por Microsoft para su famoso sistema operativo Windows, como muchas de las cosas que Microsoft desarrolla este protocolo es de uso privativo y no tiene nada que ver con Internet o HTTP.

El Browser Protocol registra los nombres SMB (CIFS) o de NetBIOS de una red, los almacena y los comparte para los demás nodos de la red. No se puede confundir ni con SAMBA ni con el WINS los cuales cumplen funciones parecidas pero no iguales. ¿Para que almacenar los nombres NetBIOS de los computadores que hacen parte de la red?, bueno es que este protocolo no solo almacena el nombre, también tiene un campo en el que se incluyen los servicios que el host ofrece, claro los servicios que están integrados con el sistema operativo, en este caso, Windows.

Todos estos datos son enviados por parte del computador cliente, el servidor solo registra lo que lee en el campo del protocolo.

¿Que nos ofrece este campo? Este campo se llama Server Type y tenemos 8 grupos de 4 bits con los que podemos identificar que rol tiene un host en una red, debemos recordar que esto SOLO aplica para los host que usen un sistema operativo que tenga esta característica de MailSlot en SMB, principal y casi únicamente Windows.

Veamos un ejemplo de trama.

El campo en cuestión es el que esta subrayado, como podemos ver después del 0x tenemos 8 dígitos hexadecimales los cuales me pueden indicar lo siguiente:

He remarcado los bits que identifican al host en la red, es así como sabemos que esta es una Estación de trabajo (para Windows TODO es una estación de trabajo) y es un servidor (Para Windows todos los host pueden ser servidor), este es un ejemplo de un nodo sencillo, pero si vemos uno como esto:

Sabríamos que se trata de un equipo en la red, con sistema operativo Windows, que tiene una impresora conectada y compartida. Por ultimo como para ver hasta donde llega este protocolo podemos encontrarnos con información como esta:

Con lo que ya tendríamos mucha información y una muy posible víctima de ataque, valgan la redundancia.

DISCLAIMER: toda la información contenida en esta entrada es para fines educativos y de Pen Testing, JAMAS se ha pensando en modificar una trama de este tipo para generar un DoS sobre algún dominio, no puede haber alguien tan malo.

Ya sabemos analizar un protocolo más.

¿Seguimos con el ejercicio?