Laboratorio de análisis forense con Wireshark

PorNodier Alexander García 2 min read
0

 

LABORATORIO DE WIRESHARK

  1. FASE INICIAL:

CAPTURA DE TRAFICO: Se Carga el contenido del archivo y abre con la herramienta, para visualizar el tráfico capturado se aplica Statistics, protocol Hierarchy para ver la distribución del contenido y comenzar a cercar el objeto de estudio.

  • Archivo analizado: "Ejercicio2.pcap"
  • Se observa la interfaz de Wireshark con dos paneles principales:
    • Panel izquierdo: Muestra lista de paquetes capturados con direcciones IP
    • Panel derecho: Muestra estadísticas de Protocol Hierarchy
  • En el Protocol Hierarchy se observa:
    • Frames totales
    • Ethernet Protocol
    • Internet Protocol Version 4
    • Transmission Control Protocol
    • Hypertext Transfer Protocol

 

  1. ANÁLISIS DE PROTOCOLOS:
  • Distribución del tráfico mostrada en detalle:
    • Frame: 100% (362 paquetes)
    • Internet Protocol V4: 100%
    • TCP: 100% (362 paquetes)
    • HTTP: 89.5% aproximadamente
    • Data: 40.3% aproximadamente

 

  1. RESOLUCIÓN DE DIRECCIONES

Aplicando resolv address se obtiene lo siguiente, llamando la atención ya algunos dominios:

 

  • Se muestra la ventana "Resolved Addresses"
  • Se observan múltiples direcciones IP y sus resoluciones DNS
  • Las direcciones están en el rango 172.16.1.x
  • Se visualizan múltiples consultas DNS y respuestas

 

 

  1. ANÁLISIS DE CONVERSACIONES:
  • Muestra la ventana "Conversations"
  • Se observan detalles de las conexiones:
    • Direcciones IP origen y destino
    • Puertos utilizados
    • Bytes transferidos
    • Duración de las conexiones
  • Se destacan varias conexiones TCP establecidas

  1. SEGUIMIENTO TCP:

**haciendo uso de filtro follow ----TCP-stream

  • Se muestra el resultado del "Follow TCP Stream"
  • Se observan cabeceras HTTP
  • Se identifica tráfico que contiene un archivo ZIP
  • La interfaz muestra contenido en formato ASCII y hexadecimal

 

 

  1. EXPORTACIÓN DE ARCHIVOS:
  • Se muestra el diálogo de exportación de archivos
  • Múltiples archivos extraídos, principalmente:
    • Archivo ZIP identificado
    • Diversos archivos relacionados con el stream TCP
  • Se observa la estructura de directorios donde se guardarán los archivos

·         Posteriormente se exporta como se muestra en la siguiente imagen, y se crea un directorio donde almacenar los archivos para posteriormente evaluar la integridad del mismo, capturando un archivo .zip , y pasando a revisión:

 

 

 

  1. ANÁLISIS EN VIRUSTOTAL:
  • Interfaz de VirusTotal mostrando resultados
  • Score circular indicando nivel de detección
  • Múltiples engines de antivirus mostrando resultados
  • Tiempo de análisis y detalles del archivo

 

  1. ANÁLISIS EN HYBRID-ANALYSIS:
  • Muestra la interfaz de Hybrid-Analysis
  • Sección "Falcon Sandbox Submissions"
  • Detalles del análisis:
    • Threat Level indicado
    • Environment utilizado
    • Timestamps del análisis
    • URLs asociadas

 

 

 

  1. ANÁLISIS FINAL EN JOE SANDBOX:
  • Interfaz completa de Joe Sandbox mostrando:
    • Overview del análisis
    • Sección de Detection con indicador "MALICIOUS" en rojo
    • Signatures detectadas
    • Gráfico circular de clasificación
    • Lista de comportamientos maliciosos detectados incluyendo:
      • Indicadores de comportamiento malicioso
      • Intentos de evasión
      • Actividades sospechosas
      • Conexiones de red maliciosas

 

 

  1. PROCESO TÉCNICO:
  • Se siguió una metodología forense estructurada:
    • Captura inicial de tráfico
    • Análisis de protocolos
    • Identificación de tráfico sospechoso
    • Extracción de archivos
    • Análisis múltiple del malware
    • Documentación de resultados
  • El análisis reveló claramente la presencia de malware en el tráfico de red.
  • Se utilizaron múltiples herramientas de análisis para confirmación.
  • Se documentó todo el proceso con capturas de pantalla.
  • Se siguió un proceso de análisis forense completo y profesional.

 

.

Conclusiones: Wireshark es una herramienta fundamental para el análisis detallado del tráfico de red y la identificación de comportamientos sospechosos que podrían comprometer la seguridad de un sistema. A través de este laboratorio, logré comprender el proceso de captura y monitoreo de datos en tiempo real, así como la importancia de analizar patrones de tráfico para detectar posibles amenazas. Este ejercicio reforzó mis habilidades para interpretar protocolos, identificar paquetes anómalos y aplicar filtros específicos para obtener información relevante, lo cual es esencial para la seguridad de redes y la prevención de incidentes.

Tags:
4.94 / 169 rates

Publicar un comentario

Articulo Anterior Articulo Siguiente