Desafío ESET #28: ¿Quién es el culpable?

¡Bienvenidos a un nuevo Desafío ESET!

En este caso queremos proponerles el análisis de una captura de tráfico para encontrar el responsable de la fuga de información confidencial -que se sospecha está relacionada con correos electrónicos.

El escenario

Después de análisis previos, se ha podido identificar unos accesos a los sistemas de la compañía en horarios poco convencionales utilizando perfiles de acceso de administrador. Si bien se tiene un sistema de seguimiento de los mensajes de correo electrónico, no se ha podido identificar quiénes son los responsables del acceso indebido.

La única persona que debería manejar estas contraseñas es el administrador de sistemas, pero como parte de la investigación, se ha descartado que sea él responsable de los accesos indebidos.

Se realizó un monitoreo a un equipo en particular, al cual tienen acceso diferentes empleados dentro de la compañía, y desde el cual se ha detectado un uso inusual de las cuentas de correo electrónico con dominio @ministerios.gov.

Como resultado de este seguimiento, se tiene un archivo .pcap que contiene la actividad del equipo en período de tiempo  de un día en particular. El archivo está comprimido en formato zip con contraseña desafioeset.

Tu papel en este reto

Para ganar este desafío, se deben identificar las cuentas de correo electrónico con dominio @ministerios.gov que han sido utilizadas en esta computadora. Además, determinar si alguna de estas cuentas se está utilizando para filtrar información sensible de la compañía, y si esta información es de tipo confidencial.

Toda la información necesaria para resolver este desafío se encuentra dentro del archivo con la captura de tráfico.

Les recordamos que aquellos que encuentren la solución deben enviar un comentario a este post detallando su respuesta. La primera persona que logre resolver el reto y que no hubiera ganado alguno de los últimos tres desafíos se llevará una licencia de la última versión de la más completa solución de seguridad: ESET Smart Security.

La próxima semana estaremos publicando todos los comentarios y la solución al desafío.

Cómo ya es habitual, durante la semana estaremos dando algunas pistas sobre cómo pueden resolver este desafío, así que estén pendientes de nuestras redes sociales. Hasta entonces no daremos ningún tipo de información.

¡Manos a la obra!

Autor , ESET

  • Adrián Martínez

    Con la ayuda de Wireshark y unas cuantas búsquedas podemos identificar que las cuentas involucradas en esta captura son:

    |secretariafinanciera@ministerios.gov -> safasain@gmail.com
    |secretariafinanciera@ministerios.gov -> fyodorkio@gmail.com
    |coordinacioncontable@ministerios.gov -> camilo.otros@gmail.com
    |coordinacioncontable@ministerios.gov -> camilo.otros@gmail.com
    |secretariafinanciera@ministerios.gov -> jc73131@gmail.com
    |coordinacioncontable@ministerios.gov-> camilo.otros@gmail.com
    |dbdeveloper@ministerios.gov -> monttor@gmail.com

    Una vez identificada la transmisión de los distintos correos, procedemos a seguir el stream de la conexión para obtener la comunicación completa, con lo que obtenemos los encabezados y cuerpo de los correos.

    Si tuviera que señalar un culpable este sería “dbdeveloper@ministerios.gov” ya que este envió un archivo PDF de nombre “Confidencial.pdf” el 3 de Septiembre del 2014 a las 4:40PM. Dicho archivo parece estar corrupto ya que no es posible visualizarlo. También busqué strings dentro del mismo pero no parece haber nada importante.

  • Joel Castañeda

    EL ES : >>>> YiYkex.dRQga@ministerios.gov <<<<<<<<
    COMO RECOGO MI PREMIO
    JIIJIJJI

  • Joel Castañeda
  • 341 wJiUw.skeoLX@ to safasain@gmail.com
    5462 qtcxfLa.TdJHh@ to fyodorkio@gmail.com
    7011 FDiApQ.amGcWJy@ to camilo.otros@gmail.com
    9599 SDEmYl.uQEGtFz@ to camilo.otros@gmail.com
    11891 PosBz.RrgEv@ to jc73131@gmail.com
    12084 WvoJRR.lcAdsA@ to camilo.otros@gmail.com
    12332 YiYkex.dRQga@ to monttor@gmail.com

    Por el sueño no sigo pero pongo en dudas las tres cuentas que envían a camilo.otros

  • c1b3rh4ck Hector .F

    Intentare dar solución a este reto visto en el dia de hoy en el feed de mi twitter.

    Lo primero que hago para resolver este es descargar el archivo en una copia local de mi server :

    [c1b3r@shell ~/reto]wget http://www.welivesecurity.com/wp-content/uploads/2014/09/CapturaDesafio28.zip –no-check-certificate

    Descomprimimos el archivo.

    [c1b3r@shell ~/reto]unzip -P desafioeset CapturaDesafio28.zip

    Identificamos el tipo de archivo.
    [c1b3r@shell ~/reto]file CapturaDesafio28

    CapturaDesafio28: tcpdump capture file (little-endian) – version 2.4 (Ethernet, capture length 65535)
    [c1b3r@shell ~/reto/txt]$ sha1 ../CapturaDesafio28

    SHA1 (../CapturaDesafio28) = 08e5102cd61e20ba17f55e9d0532b1af124fe975

    Procedemos a identificar las cuentas de correo electronico de *@ministerios.gov

    [c1b3r@shell ~/reto]$ tcpdump -r CapturaDesafio28 -A | egrep –color=auto “w+([._-]w)*@ministerios.gov”
    reading from file CapturaDesafio28, link-type EN10MB (Ethernet)
    E….&@.@…….@…….E…_.H<P.<…..MAIL FROM: SIZE=63666
    From: Secretaria Financiera
    E…..@.@..@….@….T……8fD.P.<.Y]..MAIL FROM: SIZE=62056
    From: Secretaria Financiera
    E…..@.@..2….@…………}.P.<..2..MAIL FROM: SIZE=62134
    From: Coordinacion Contable
    E…X.@.@.T1….@………]…oLP.<.3…MAIL FROM: SIZE=69302
    From: Coordinacion Contable
    E…..@.@.”…..@……….. d0 P.<..,..MAIL FROM: SIZE=69232
    From: Secretaria Financiera
    …kR/!P.<…..MAIL FROM: SIZE=63769
    From: Coordinacion Contable
    E….1@.@…….@…….W.^’+.0.P.<…..MAIL FROM: SIZE=76079
    From: Desarrollador DB

    Sin obtener resultados muy limpios con tcpdump, se puede utilizar la herramienta wireshark para hacer un filtrado de los correos electrónicos intercambiados , el filtro a utilizar es frame contains “MAIL”

    con esto obtendremos algo como la siguiente imagen :

    https://imgur.com/8XZNkwU

    Al revisar la captura detalladamente se puede observar que hay un intercambio de correos, los que se encontraron de ministerios.gov fueron :

    La siguiente presenta la conversacion detallada por tiempo y el nombre de archivo enviado de uno a otro.

    frame contains “MAIL”

    Conversaciones por tiempo:

    To: safasain@gmail.com
    From: Secretaria Financiera
    Subject: Fotos de la semana
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:32:10 -0400 (EDT)

    –127.0.1.1.0.15275.1409779929.869.1
    Content-Type: text/plain;
    charset=”utf-8″

    Mira las fotografias que se tomaron en la semana

    Saludos,

    Content-Type: image/jpeg; name=ElPato_.jpg
    Content-Transfer-Encoding: base64

    =======================

    To: fyodorkio@gmail.com
    From: Secretaria Financiera
    Subject: Fotos graciosas
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:33:55 -0400 (EDT)

    –127.0.1.1.0.15297.1409780035.671.1
    Content-Type: text/plain;
    charset=”utf-8″

    Conocias esta fotografia, resulto ser muy divertida

    Saludos,

    –127.0.1.1.0.15297.1409780035.671.1
    Content-Type: image/jpeg; name=Energy_.jpg

    =======================

    To: camilo.otros@gmail.com
    From: Coordinacion Contable
    Subject: Fotos de la semana
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:35:07 -0400 (EDT)

    –127.0.1.1.0.15307.1409780107.739.1
    Content-Type: text/plain;
    charset=”utf-8″

    Informacion divertida para que revises el fin de semana

    Saludos,
    –127.0.1.1.0.15307.1409780107.739.1
    Content-Type: image/jpeg; name=Energy.jpg

    =======================

    To: camilo.otros@gmail.com
    From: Coordinacion Contable
    Subject: Fotos de la semana
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:36:21 -0400 (EDT)

    –127.0.1.1.0.15309.1409780181.945.1
    Content-Type: text/plain;
    charset=”utf-8″

    Disfruta de esta imagen, me resulto dificil tomarla

    CUidate,
    –127.0.1.1.0.15309.1409780181.945.1
    Content-Type: image/jpeg; name=Jager_.jpg

    =======================

    To: jc73131@gmail.com
    From: Secretaria Financiera
    Subject: Mira tus fotos
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:37:33 -0400 (EDT)

    –127.0.1.1.0.15316.1409780253.739.1
    Content-Type: text/plain;
    charset=”utf-8″

    Ojala disfrutes de esta imagen, me costo mucho tomarla

    Saludos,

    –127.0.1.1.0.15316.1409780253.739.1
    Content-Type: image/jpeg; name=Jager.jpg

    =======================

    To: camilo.otros@gmail.com
    From: Coordinacion Contable
    Subject: Fotos de la semana
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:38:28 -0400 (EDT)

    –127.0.1.1.0.15321.1409780308.266.1
    Content-Type: text/plain;
    charset=”utf-8″

    Apuesto que esto te va a resultar muy interesante y divertido

    Saludos
    –127.0.1.1.0.15321.1409780308.266.1
    Content-Type: image/jpeg; name=ElPato.jpg

    =======================

    To: monttor@gmail.com
    From: Desarrollador DB
    Subject: Informacion importante
    MIME-Version: 1.0
    Message-Id:
    Date: Wed, 3 Sep 2014 17:40:13 -0400 (EDT)

    –127.0.1.1.0.15338.1409780413.390.1
    Content-Type: text/plain;
    charset=”utf-8″

    La siguiente informacion es muy importante y por lo tanto es necesario que no la divulgues ;) El partido de futbol va a ser a las 20.30hrs en la cancha de Miguel. No se te olvide llegar antes para empezar a tiempo.

    Nos vemos mas tarde, avisales a toda la gente del area por favor
    –127.0.1.1.0.15338.1409780413.390.1
    Content-Type: application/pdf; name=Confidencial.pdf

    =======================

    revisando Confidencial.pdf se observar que el archivo esta codificado con base64, pero algunos bytes no pudieron ser transferidos. [5880 bytes missing in capture file],[10260 bytes missing in capture file] :S

  • Jorge Luis Juro Linares

    secretariafinanciera@ministerios.gov (safasain@gmail.com; fyodorkio@gmail.com; jc73131@gmail.com)
    coordinacioncontable@ministerios.gov (camilo.otros@gmail.com)
    dbdeveloper@ministerios.gov (monttor@gmail.com) –> Confidencial.pdf

    ****************************************************************************************
    secretariafinanciera@ministerios.gov MAIL FROM: (wJiUw.skeoLX@ministerios.gov; qtcxfLa.TdJHh@ministerios.gov; PosBz.RrgEv@ministerios.gov)
    coordinacioncontable@ministerios.gov MAIL FROM:(FDiApQ.amGcWJy@ministerios.gov; SDEmYl.uQEGtFz@ministerios.gov; WvoJRR.lcAdsA@ministerios.gov)
    dbdeveloper@ministerios.gov MAIL FREOM: (YiYkex.dRQga@ministerios.gov) –> Confidencial.pdf

  • 341 wJiUw.skeoLX@ministerios.gov
    secretariafinanciera@ministerios.gov to safasain@gmail.com

    5462 qtcxfLa.TdJHh@ministerios.gov
    secretariafinanciera@ministerios.gov to fyodorkio@gmail.com

    7011 FDiApQ.amGcWJy@ministerios.gov
    coordinacioncontable@ministerios.gov to camilo.otros@gmail.com

    9599 SDEmYl.uQEGtFz@ministerios.gov
    coordinacioncontable@ministerios.gov to camilo.otros@gmail.com

    11891 PosBz.RrgEv@ministerios.gov
    secretariafinanciera@ministerios.gov to jc73131@gmail.com

    12084 WvoJRR.lcAdsA@ministerios.gov
    coordinacioncontable@ministerios.gov to camilo.otros@gmail.com

    12332 YiYkex.dRQga@ministerios.gov
    dbdeveloper@ministerio.gov to monttor@gmail.com

    341 fotos de la semana
    5462 fotos graciosas
    7011 fotos de la semana
    9599 fotos de la semana
    11891 mira tus fotos
    12084 Apuesto que esto te va a resultar muy interesante y divertido… saludos.
    12332 La siguiente información es muy importante y por lo tanto es necesario que no la divulgues ;) El partido de futbol va a ser a las 20.30hrs en la cancha de Miguel. No se te olvide llegar antes para empezar a tiempo… Nos vemos más tarde, avísales a toda la gente del área por favor.

    Desde mi punto de vista nada confidencial porque no estan filtrando informacion de la empresa, aunque sea el correo del db developer no hay algun dato extraño.

    Como encontre los datos… primera vez que uso wireshark para leer las capturas en .pcap

    Pase leyendo linea por linea “frame” llegue al primero que decia “Mail” con la informacion del correo @ministerio.gov, al llegar al segundo visualize que anterior a los dos frame se puede leer entre los datos “Protocol SMTP Length 77 Info C: EHLO mail.example.com” Marque Length para revisar por orden los que tuvieran el mismo numero 77, de ahi pude localizar todos los correos, luego revise el resto de informacion que le seguia a cada correo, leyendo los C: Data fragment ahi encontre los mensaje que fueron enviados.

    y fin…. xD

  • Anselmo Lagunas Cuevas

    Solucion Desafio ESET

    A primera vista los registros parecen ser bastantes, seria una tarea titanic
    revisar uno por uno, asi que lo primero será filtrarlos por el protocolo smtp
    que es el de correo electrónico, asi la vista se ve mas prometedora, ahora se puede
    visualizar los correos que han sido utilizados con la extensión @ministerios.gov. los
    cuales son los siguientes:

    wJiUw.skeoLX@ministerios.gov

    qtcxfLa.TdJHh@ministerios.gov

    FDiApQ.amGcWJy@ministerios.gov

    coordinacioncontable@ministerios.gov

    SDEmYl.uQEGtFz@ministerios.gov

    PosBz.RrgEv@ministerios.gov

    WvoJRR.lcAdsA@ministerios.gov

    YiYkex.dRQga@ministerios.gov

    Cabe destacar que algunas de las cuentas de correo antes listadas enviaban correos
    a las siguientes direcciones:

    fydorkio@gmail.com

    camilo.otros@gmail.com

    jc73131@gmail.com

    monttor@gmail.com

    Ahora bien, hay 2 secciones de DATA’s fragmentados con la ayuda de
    Wireshark podemos Re-ensamblarlos, veamos que obtenemos con la primera sección:

    Obtenemos un mail de coordinacioncontable@ministerios.gov
    para camilo.otros@gmail.com en el
    cual tiene como asunto: Fotos de la
    semana

    Se puede observar que fue enviado el miercoles, 3 Sep 2014 17:35:07, y se envía una imagen
    con el nombre Energy.jpg, sin duda se puede catalogar como fuente de información

    Analizando el segundo DATA’s, lo re-ensamblamos y obtenemos lo siguiente

    Un correo de Desarrollador DB dbdeveloper@ministerios.gov
    para monttor@gmail.com, en el cual tiene
    opor asunto: Informacion importante y e cuerpo del mensaje es:

    “La siguiente informacion es muy importante y por lo tanto es necesario que
    no la divulgues ;) El partido de futbol va a ser a las 20.30hrs en la cancha de
    Miguel. No se te olvide llegar antes para empezar a tiempo”

    Pero además del mensaje en texto plano, se envía un archivo PDF, llamado:
    Confidencia.pdf

    Sin duda la seguna fuga de información de la empresa

    Con el análisis anterior obtuvimos las cuentas de correo con dominio @ministerios.gov
    y la fuga de información de las mismas.

    Analisis
    Realizado por: Anselmo Lagunas Cuevas.

  • c1b3rh4ck Hector .F

    Que paso con el comentario anterior ?

  • M1ndCr4ck

    > Cuentas con dominio @ministerios.gov
    utilizadas en esa pc:

    secretariafinanciera@ministerios.gov

    coordinacioncontable@ministerios.gov

    dbdeveloper@ministerios.gov

    > Análisis y Evidencias tomadas

    El correo: secretariafinanciera@ministerios.gov
    envía a: safasain@gmail.com una imagen llamada “ElPato_.jpg”
    igualmente cifrada con base64, pero al descifrarla validamos con el numero mágico
    que si es una imagen.

    Entro mensaje el correo: secretariafinanciera@ministerios.gov
    envía a:fyodorkio@gmail.com una imagen llamada “Energy_.jpg” también cifrado en
    base64 se hace la misma comprobación que la anterior.

    Del correo: dbdeveloper@ministerios.gov
    se envió un pdf cifrado en base64
    llamado “confidencial.pdf” a monttor@gmail.com, se valida con el número mágico perteneciente
    a un archivo pdf lo cual da que si es un pdf.

    > Lo interesante del caso: J

    En tres correos distintos enviados
    de coordinacioncontable@ministerios.gov a camilo.otros@gmail.com envía cifrado
    en Base64 información de la conexión de la base de datos,

    En la imagen “Energy.jpg”
    estaba cifrado en base64 lo siguiente= User> Admin_BD Pass> c1av3in53gura

    En la imagen “Jager_.jpg”
    estaba cifrado en base64 lo siguiente= IP_BD>
    127.34.15.17 Port> 334

    En la imagen “ElPato.jpg” estaba
    cifrado en base64 lo siguiente= user_portal>
    Admon_sys Pass>0trac1av3in53sgura

    Slds @M1ndCr4ck:disqus }xD

  • SteckMera

    Las cuentas que han sido utilizadas con el dominio @ministerios.gov son las siguientes:

    secretariafinanciera@ministerios.gov
    coordinacioncontable@ministerios.gov
    dbdeveloper@ministerios.gov

    Desde la cuenta de coordinacioncontable se han enviado 2 correos que contiene “imagenes” con mensajes ocultos codificados en base64, donde se revelan las credenciales de acceso a un servidor de base de datos, desde luego como lo dice en un correo previo dbdeveloper al enviar un archivo pdf, destaca que la información es confidencial.

    >>>> SVBfQkQ+IDEyNy4zNC4xNS4xNyBQb3J0PiAzMzQ=
    IP_BD> 127.34.15.17 Port> 334

    >>>> VXNlcj4gQWRtaW5fQkQgUGFzcz4gYzFhdjNpbjUzZ3VyYQ==
    User> Admin_BD Pass> c1av3in53gura

    Saludos, espero no se me escape nada y estar en lo correcto…

  • Josue

    La respuestas es camilo.otros@gmail.com

    envia imagenes que contenian informacion de usuarios, contraseñas, puertos de un servidor en codigo base64

  • Yoshieki Daniel

    Cuentas de correo electronico:

    wJiUw.skeoLX@ministerios.gov

    secretariafinanciera@ministerios.gov

    qtcxfLa.TdJHh@ministerios.gov

    FDiApQ.amGcWJy@ministerios.gov

    COORDINACIONCONTABLE@MINISTERIOS.GOV

    SDEmYl.uQEGtFz@ministerios.gov

    PosBz.RrgEv@ministerios.gov

    WvoJRR.lcAdsA@ministerios.gov

    YiYkex.dRQga@ministerios.gov

    DBDEVELOPER@MINISTERIOS.GOV

    No se esta filtrando informacion sensible, todos los correos hablan sobre la difusion de las fotografias graciosas, asumo que son de jc73131@gmail.com.

    El unico correo con informacion clasificada privada es el del partido de futbol, enviada a DBDEVELOPER pero no es sensible en lo absoluto.

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=63666 | RCPT TO:
    secretariafinanciera@ministerios.gov
    Asunto: FOTOS DE LA SEMANA

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=62056 | RCPT TO:
    secretariafinanciera@ministerios.gov
    Asunto: FOTOS GRACIOSAS
    CONOCIAS ESTAS FOTOGRAFIAS, SON MUY DIVERTIDAS SALUDOS

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=62134 | RCPT TO:
    COORDINACIONCONTABLE@MINISTERIOS.GOV
    FOTOS DE LA SEMANA
    INFORMACION DIVERTIDA PARA QUE REVISES EL FIN DE SEMANA, SALUDOS

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=69302 | RCPT TO: |
    Disfruta esta imagen me resulto dificil tomarla

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=69232 | RCPT TO:
    Mira tus fotos

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=63769 | RCPT TO:
    FOTOS DE LA SEMANA
    APUESTO Q TE VA A RESULTAR INTERESANTE Y DIVERTIDO

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=76079 | RCPT TO:
    DBDEVELOPER@MINISTERIOS.GOV IMFORMACION IMPORTANTE
    LAINFORMACION A CONTINUACION ES MUY IMPORTAE Y POR LO TANTO NO LA DIVULGES, EL PARTIDO DE FUTBOL VA A SER A LAS 20:30 HRS EN LA CANCHA DE MIGUEL NO SE DE LLEGAR ANTES PARA EMPEZAR A TIEMPOS NOS VEMOS, AVISALE A TODA LA GENTE DEL AREA POR FAVOR.

  • Yoshieki Daniel

    Cuentas de correo electronico:

    wJiUw.skeoLX@ministerios.gov

    secretariafinanciera@ministerios.gov

    qtcxfLa.TdJHh@ministerios.gov

    FDiApQ.amGcWJy@ministerios.gov

    COORDINACIONCONTABLE@MINISTERIOS.GOV

    SDEmYl.uQEGtFz@ministerios.gov

    PosBz.RrgEv@ministerios.gov

    WvoJRR.lcAdsA@ministerios.gov

    YiYkex.dRQga@ministerios.gov

    DBDEVELOPER@MINISTERIOS.GOV

    No se esta filtrando informacion sensible, todos los correos hablan sobre la difusion de las fotografias graciosas, asumo que son de jc73131@gmail.com.

    El unico correo con informacion clasificada privada es el del partido de futbol, enviada a DBDEVELOPER pero no es sensible en lo absoluto.

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=63666 | RCPT TO:
    secretariafinanciera@ministerios.gov
    Asunto: FOTOS DE LA SEMANA

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=62056 | RCPT TO:
    secretariafinanciera@ministerios.gov
    Asunto: FOTOS GRACIOSAS
    CONOCIAS ESTAS FOTOGRAFIAS, SON MUY DIVERTIDAS SALUDOS

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=62134 | RCPT TO:
    COORDINACIONCONTABLE@MINISTERIOS.GOV
    FOTOS DE LA SEMANA
    INFORMACION DIVERTIDA PARA QUE REVISES EL FIN DE SEMANA, SALUDOS

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=69302 | RCPT TO: |
    Disfruta esta imagen me resulto dificil tomarla

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=69232 | RCPT TO:
    Mira tus fotos

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=63769 | RCPT TO:
    FOTOS DE LA SEMANA
    APUESTO Q TE VA A RESULTAR INTERESANTE Y DIVERTIDO

    192.168.209.148 64.233.186.26 SMTP C: MAIL FROM: SIZE=76079 | RCPT TO:
    DBDEVELOPER@MINISTERIOS.GOV IMFORMACION IMPORTANTE
    LAINFORMACION A CONTINUACION ES MUY IMPORTAE Y POR LO TANTO NO LA DIVULGES, EL PARTIDO DE FUTBOL VA A SER A LAS 20:30 HRS EN LA CANCHA DE MIGUEL NO SE DE LLEGAR ANTES PARA EMPEZAR A TIEMPOS NOS VEMOS, AVISALE A TODA LA GENTE DEL AREA POR FAVOR..

  • cr¡st¡@n0

    Hola, soy cr¡st¡@n0. mi respuesta al desafio es la siguiente:

    1- las cuentas usadas con dominio ministerios.gov en el equipo son:, ,

    2-la cuenta que esta filtrando informacion sensible y confidencial es la , a traves del pdf adjunto con nombre “Confidencial.pdf”

    saludos, y avisenme si esta completo o algo mas falto responder. gracias
    Cr¡st¡@n0 / docasembler@yahoo.com.ar

  • Nando Gonzales

    Todos los correos involucrados fueron:

    skeoLX@ministerios.gov
    secretariafinanciera@ministerios.gov
    TdJHh@ministerios.gov
    amGcWJy@ministerios.gov
    coordinacioncontable@ministerios.gov
    uQEGtFz@ministerios.gov
    RrgEv@ministerios.gov
    lcAdsA@ministerios.gov
    dRQga@ministerios.gov
    dbdeveloper@ministerios.gov

    La información confidencial filtrada fue esta, mas no es de gran importancia para la compañía, aunque seria cuestión de revisar el PDF.

    FROM:

    RCPT TO:

    La siguiente informacion es muy importante y por lo tanto es necesario que no la divulgues ;) El partido de futbol va a ser a las 20.30hrs en la cancha de Miguel. No se te olvide llegar antes para empezar a tiempo.

    Nos vemos mas tarde, avisales a toda la gente del area por favor

    Content-Type: application/pdf; name=Confidencial.pdf

  • Nando Gonzales

    Todos los correos involucrados fueron:

    skeoLX@ministerios.gov
    coordinacioncontable@ministerios.gov
    secretariafinanciera@ministerios.gov
    TdJHh@ministerios.gov
    amGcWJy@ministerios.gov
    uQEGtFz@ministerios.gov
    RrgEv@ministerios.gov
    lcAdsA@ministerios.gov
    dRQga@ministerios.gov

    Y la información filtrada fue esta, es sensible, mas no de tono confidencial.

    To: monttor@gmail.com
    From: Desarrollador DB
    Subject: Informacion importante

    La siguiente informacion es muy importante y por lo tanto es necesario que no la divulgues ;) El partido de futbol va a ser a las 20.30hrs en la cancha de Miguel. No se te olvide llegar antes para empezar a tiempo.
    Nos vemos mas tarde, avisales a toda la gente del area por favor

    127.0.1.1.0.15338.1409780413.390.1

    Content-Type: application/pdf; name=Confidencial.pdf

  • Emiliano

    Hola! Mi respuesta es la siguiente:
    Las cuentas utilizadas son dbdeveloper@ministerios.gov, secretariafinanciera@ministerios.gov y coordinacioncontable@ministerios.gov

    Los mails con informacion sensible eran enviados de coordinacioncontable@ministerios.gov
    a camilo.otros@gmail.com
    La informacion que contenian era la siguiente:
    IP_BD> 127.34.15.17 Port> 334
    user_portal> Admon_sys Pass>0trac1av3in53sgura
    User> Admin_BD Pass> c1av3in53gura

    Saludos.

  • Johan Zambrano

    las cuentas que se utilizaron en este equipon fueron:
    coordinadorcontable@ministerios.gov
    dbdeveloper@ministerios.gov
    secretariafinanciera@ministerios.gov

    y no se filtro informacon importante de la compania solo algunas fotos y una invitacion a jugar futboll por parte del desarrollador

Síguenos