Documente Academic
Documente Profesional
Documente Cultură
FECHA: 10/10/2017
SUCRE - BOLIVIA
ANLISIS CAJA NEGRA
EJECUTANDO AUTH :
En nuestro cliente podemos ver q existen varios inicios de cesin a diferentes programas que no
tienen ningn tipo de restriccin a la hora de su ejecucin lo cual puede ser un gran riesgo en un
posible ataque
EJECUTANDO DEFAULT:
Mas abajo podemos ver informacin recolectada del puerto 80 tal como nombre de equipo versin
de sistema operativo
Adems de poder ver toda nuestra informacin recolectada de nuestros servicios y accesos
tambin podemos ver toda la informacin que vota nuestro cliente sin ningn tipo de restriccin
Una vez iniciada la captura es posible filtrar los paquetes capturados de acuerdo a la necesidad de
quien est analizando el malware. Como primer tarea, es posible reconocer a que servidores se
conect a travs de las peticiones DNS. Para observarlo con ms comodidad es posible aplicar
un filtro. Especficamente, si se escribe DNS en el campo de los filtros y se lo aplica, sern visibles
todas las resoluciones de nombres en direcciones IP. En el caso del malware, permite reconocer
con que servidores se conecta. A continuacin puede observarse una captura
Otro aspecto a tener en cuenta son las peticiones realizadas. Aplicando el filtro http.request es
posible obtener todos los GET y POST que fueron realizados durante el periodo de captura.
Este tipo de peticiones es muy utilizado por los cdigos maliciosos, incluso para enviar
informacin sobre el sistema infectado. A continuacin, puede observarse una captura de un
anlisis real sobre un malware que obtiene datos y archivos desde un servidor remoto:
Ahora hacemos el trafico entre el navegador de nuestro cliente con nuestro servidor apache Linux
Podemos ver que las conexiones que existe son de peticin y respuesta hacia nuestro cliente
adems de las peticiones GET los cuales sin muy utilizados por ataques
Qu es el comando NETSTAT?
Netstat.exe es una til aplicacin incluida en todos los sistemas operativos Windows, permite
monitorear y estar al tanto de todas las conexiones establecidas entre nuestra PC y el mundo
exterior.
Con el comando NETSTAT se introducen las ordenes que nos permiten ver, conocer, detectar e
identificar las conexiones activas establecidas con el exterior, tanto entrantes como salientes, su
origen y direccin IP de procedencia, saber los puertos que tenemos abiertos a la escucha, ver e
identificar las conexiones entrantes e intrusiones de red en nuestra PC, saber si tenemos
programas que establezcan contacto con un host remoto, etc.
Toda esa informacin y ms, podemos obtenerla usando el comando NETSTAT con distintas
opciones o modificadores.
Con NETSTAT podemos monitorear en vivo toda la actividad de nuestra red, acceder a todas las
estadsticas registradas y recogerlas en un archivo de texto para revisarlas posteriormente.
Es posible configurar el intervalo de tiempo en que estas se deben realizar.
Permite estar al tanto de los puertos que se encuentren abiertos en la PC, su estado, si son
usados en alguna conexin desconocida, lo que te permite cerrarlos si no son necesarios para el
funcionamiento de las aplicaciones que usas.
Es la herramienta ideal para detectar conexiones entrantes e intrusiones en un equipo local, saber
si alguna aplicacin instalada establece contacto con algn host remoto en el exterior, monitorear
estas conexiones, conocer su PID o sea la identidad del proceso y detenerlo por medio de la
utilidad taskkill, ya sea manualmente o automticamente con un archivo batch creado para ese fin.
-v Usado con -b, permite ver secuencias de componentes involucrados en crear una
conexin.
Intervalo Intervalo en nmero de segundos que se monitorea las conexiones. Continua hasta que
se ejecuta Control+C.