Desafío 20 de ESET

Nuevamente compartimos con todos ustedes un desafío de ESET Latinoamérica, en donde buscamos la manera de fomentar a los lectores de poner en práctica diferentes técnicas informáticas para encontrar alguna solución.

En ocasión el grupo de seguridad de una empresa, realizó una captura de tráfico a un usuario que se sospecha que se encuentra robando información. El grupo nos pidió que analizáramos la captura de red e informar si el usuario es culpable del robo. El desafió 20 consiste en responder las siguientes preguntas:

  • ¿Cuál es la acción que realiza el usuario sospechado,  en el tráfico de red?
  • ¿En la captura, se puede extraer algún tipo de información?
  • ¿El usuario es culpable o inocente?

El archivo interceptado por el grupo de seguridad es el siguiente: desafio-20-ESET (contraseña: “eset-latinoamerica”; MD5:CFAAC0825D626B99C125A61AB2AF30B2).

La primera persona que resuelva el desafío y nos envíe por comentario la respuesta, ganará una licencia de nuestro producto ESET NOD32 Antivirus. La próxima semana, estaremos publicando los resultados de este nuevo desafío en los comentarios del post. Los mismos, no serán aprobados hasta que termine el desafío.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

  • Ángel Paredes

    La acción que realiza este usuario argentino es descargar un archivo:
    http://www.zshare.net/download/95549130263ef44a/
    Código de eliminación: 03ae7d4bedb35ae61f872370de7e9020
    Enlace publicado en Twitter: “Check out this zshare.net page”.
    Contraseña del archivo: “100”.
    Contenido: “Que la fuerza te acompañe”.
    El usuario es inocente.

  • Ángel Paredes

    *La acción que realiza este usuario argentino es -subir- un archivo.

  • Pablo J. Mantellini

    El usuario subio el archivo “privado.zip” al sitio zshare.net.
    El archivo contiene un archivo “Texto.txt” protegido con contraseña, por lo que el usuario es culpable de subir un archivo a la web desde la empresa.

    Saludoss

  • Mateo

    Intente lo que pude, pero es demasiado difícil como para mí, les dejo un par de datos para ayudar a los que más saben:

    El archivo que se encuentra en el Zip, le cambie la extensión a .html para ver si contenía alguna redirección valida, pero no.
    Sin embargo conseguí observar varias cosas:
    1) este usuario consiguió un archivo llamado “privado.zip” el cual contiene un archivo de texto llamado “texto” el cual está cifrado por una contraseña que lamentablemente no pude conseguir.
    El link de la página de descarga de este archivo es:

    http://www.zshare.net/info.html?95549130-919ababbce0a66aff0c81160143ddca1

    nota: El archivo con extensión .pcap creo que se lo puede observar mejor con un editor hexadecimal.

    Postdata: que yo les redacte mis pasos no significa que están bien ;), los que saben mucho más que yo sabrán que hacer perfectamente.

  • ¿Cuál es la acción que realiza el usuario sospechado, en el tráfico de red?
    Enviar el archivo privado.zip a zshare.net

    ¿En la captura, se puede extraer algún tipo de información?
    – El archivo privado.zip está protegido con contraseña “100” que contiene el siguiente texto: “Que la fuerza te acompañe”
    – Más información acá: http://zshare.net/info.html?95549130-919ababbce0a66aff0c81160143ddca1, link de acceso y borrado del archivo.

    ¿El usuario es culpable o inocente?
    Guilty

  • Esteban Gonzalez Obando

    ¿Cuál es la acción que realiza el usuario sospechado, en el tráfico de red?
    Al parecer esta sustrayendo informacion

    ¿En la captura, se puede extraer algún tipo de información?
    Aparentemente esta enviando paquetes al servidor http://www.zshare.net, se ve informacion de twiter y de google analytics.

    ¿El usuario es culpable o inocente?
    Todo apunta a que es culpable

  • Carlos Araneda

    * El usuario sube un archivo ZIP a http://www.zshare.net

    * Si, se puede obtener la dirección para bajar el archivo desde zshare. En caso de que el archivo haya sido borrado de zshare, también se puede recuperar el archivo sacando los bytes enviados por post cuando se subió el archivo al servidor

    —————————–7db7d11700dc
    Content-Disposition: form-data; name=”file”; filename=”privado.zip”
    Content-Type: application/x-zip-compressed

    …..

    * Luego de bajar el archivo “privado.zip” se crackea la clave para poder ver el contenido. Luego de un ataque de fuerza bruta se descubre que la clave es 100. El contenido del archivo “privado.zip” es un archivo de texto que dice

    “Que la fuerza te acompañe”

  • Carlos Araneda

    El usuario es inocente

  • dr0x0N

    El sospechoso sube un fichero “privado.zip” a un hosting gratuito de archivos, el fichero se puede encontrar en la siguiente dirección:
    http://www.zshare.net/info.html/?95549130-919ababbce0a66aff0c81160143ddca1

    En la captura se puede obtener el fichero privado.zip, dentro de este se encuentra un archivo de texto con contraseña cuyo contenido es: “Que la fuerza te acompañe

    De la captura de tráfico se puede concluir que el usuario es inocente ya que no se encontró información de la empresa, por lo tanto no hay robo de información.

  • Giovanny Andres Gongora Granada

    Hola.. Bueno.. esta es mi respuesta.. al desafio.. mi nombre es Giovanny.. y tengo 14 años.. :D

    ¿Cuál es la acción que realiza el usuario sospechado, en el tráfico de red?

    R/: lo sospechoso es la conexion a los puertos que realiza este usuario.. analice el archivo .pcap con el Wireshark y pues eso fue lo que encontre de sospechoso.. ademas de su forma de entrar a estos.. me parecio sospechoso.. no estoy muy seguro de que sea eso.. pero pues es lo mas logico hasta ahora.. que puedo encontrar.. para esta pregunta..

    estas son las capturas… :

    http://i.imgur.com/YxVck.png
    http://i.imgur.com/Xer76.png

    ¿En la captura, se puede extraer algún tipo de información?

    R/: Claro que si.. en el hosting de archivos zSHARE.net hay una archivo que parece haber sido subido por el usuario extraño.. el archivo tiene el nombre de privado.zip

    este es link de descarga..

    http://www.zshare.net/download/95549130263ef44a/

    tambien… hay otro link.. en donde se muestra la pagina de carga satisfactoria..

    http://www.zshare.net/info.html?95549130-919ababbce0a66aff0c81160143ddca1

    estas son las imagenes..:

    http://i.imgur.com/17HWw.png
    http://i.imgur.com/14rzJ.png

    este archivo una vez descargado.. tiene en su contenido.. un archivo Texto.txt que esta protegido por contraseña..

    http://i.imgur.com/GGPly.png

    para descifrar su contraseña… se utiliza el software PicoZip Recovery Tool.. vean el resultado..

    http://i.imgur.com/Kw7GY.png

    la pass es “100”….

    ¿El usuario es culpable o inocente?

    R/: el usuario es completamente inocente… ya que al abrir el archivo en su interior.. nos encontramos con lo siguiente..

    http://i.imgur.com/Buj20.png

    Parece ser un fanatico de Star Wars o algo por el estilo… :D Bueno.. eso es todo.. ojala sea la respuesta.. y pues hasta hoy que desperte.. me acabo de dar cuenta del desafio.. en si no fue tan dificil.. SaludOS..!!

  • berna muñoz

    La captura nos muestra como el usuario ha subido el siguiente fichero llamado privado.zip a http://www.zshare.net/info.html?95549130-919ababbce0a66aff0c81160143ddca1, descomprimiendo el fichero con password “100” nos muestra el mensaje “Que la fuerza te acompañe”, con lo cual si considerais que el texto es de vital importancia es culpable.

Síguenos