eJERCICIO DE CI

Apellidos, Nombre
Dirección de correo electrónico
INDICE

Antecedentes:.............................................................................................2
Ejercicio:......................................................................................................3
Herramientas:..............................................................................................4
Informe ejecutivo:.......................................................................................4
Informe técnico:..........................................................................................5

1
Antecedentes:

Trabajas en el equipo de Análisis e Inteligencia de ciberseguridad en la empresa Ficticy SL, una

multinacional dedicada a la venta de viviendas.

Caso 1
El día 23 de noviembre de 2017 a las 10:00 am, recibes un correo electrónico desde una cuenta
de correo corporativa de otro país, en el que se facilita un enlace a un sitio web sospechoso.

 La cuenta de correo desde la que se envía ese mensaje es:

o “[email protected]”.

 El asunto del correo es:

o FW: Validate Email Account

 El cuerpo del correo es:

o This is to notify all employees that we are validating active accounts. Please,
confirm that your account is still in use by clicking the validation link below:

Validate Email Account

Cheers,

 El código del sitio web se encuentra en la carpeta:

o “caso 1”.

Al comentarlo con el resto de compañeros del equipo, todos ellos explican que han recibido el
mismo email. A continuación, empiezan a llegar incidencias de los empleados de la compañía
reportando la recepción del email, indicando que les parece sospechoso.

 Información facilitada para el análisis:

o Logs de emails recibidos por la cuenta “[email protected]”.
o Código del sitio web (directorio “caso 1”).

Caso 2
Horas más tarde, a las 13:00, recibes la noticia de que se ha realizado una transferencia a una
cuenta inusual y que el proveedor pendiente de recibir ese pago se ha quejado porque no lo
ha recibido.

Al contactar con los empleados del departamento de transferencias (a continuación, se

detallan sus datos), todos confirman haber estado trabajando durante toda la semana en la
oficina, siempre utilizando la red corporativa y la VPN para el uso de herramientas. Sin
embargo, los tres trabajadores afirman haber recibido correos sospechosos esta semana.

 Empleados del departamento de transferencias:

o Nombre: María Protector Fresco | Email: [email protected] |
Puesto: Responsable del departamento de nóminas | Redes sociales utilizadas:
Facebook, Twitter, Linkedin, Instagram.

2
 o Nombre: Juan Philips Todobene | Email: [email protected] |
Puesto: Responsable de pagos y transferencias | Redes sociales utilizadas:
Facebook, Linkedin, Infojobs.
o Nombre: Sofía Labial Guest | Email. [email protected] | Puesto:
Asistente de pagos y transferencias | Redes sociales utilizadas: Facebook,
Linkedin, Infojobs, Tuenti.

 Información facilitada para el análisis (directorio “caso 2”).:

o Logs de correos recibidos.
o Logs de acceso a las cuentas de correo.
o Logs del MTA.
o Correos sospechosos reportados por los empleados.
 Para obtener la contraseña de dicho ZIP, se debe identificar el ID del
correo fraudulento.

Caso 3
Para acabar el día, a las 15:00, empiezan a generarse múltiples alertas en los sistemas de
endpoint indicando el siguiente mensaje:

 Mensaje sistema endpoint:

o “# C:\WINDOWS\mssecsvc.exe # Ransom-WannaCry!7339A0EFC768 # trojan #
deleted # 1 # VIRUS_DETECTED_REMOVED # VIRUSCAN8800 # VirusScan
Enterprise #”

Al mismo tiempo, comienzan a cifrarse archivos de múltiples equipos, a los que se les va
añadiendo la extensión “.wncry”.

De cara al análisis del incidente, se dispone de la siguiente información (directorio “caso 3”).:

 Logs de ePO.
 Ejemplo de ficheros creados en los sistemas infectados.
 Capturas de pantalla de la configuración del Firewall.
 Logs del Firewall.

Ejercicio:

Para la resolución del ejercicio se pide responder a los siguientes puntos en un reporte
detallado:

1. Identificar qué tipo de incidente se ha podido producir en cada uno de los 3 casos.
2. Identificar, analizar y detallar con todo lujo de detalles en el primer caso:
o ¿Cómo se ha podido producir el suceso?
o ¿Dónde se envían los datos comprometidos?
o ¿Qué cuentas se han podido ver comprometidas? ¿Cómo podemos
identificarlas?
3. Identificar, analizar y explicar con todo lujo de detalles en el segundo caso:
o ¿Cómo se ha podido producir el suceso?

3
 o ¿Qué método se ha podido utilizar por el atacante para realizar este envío
dirigido? ¿Cómo se ha podido utilizar?
o Resumen del caso.
4. Identificar, analizar y explicar con todo lujo de detalles en el tercer caso:
o ¿Qué tipo de amenaza se ha sufrido?
o ¿Cómo se ha podido producir el suceso?
o ¿Cómo se propaga el malware a través de la red interna?
o ¿Qué vulnerabilidad ha podido explotarse?
5. Medidas de mitigación que se pueden tomar en estos incidentes.
6. Recomendaciones y plan de continuidad que debe realizar el equipo de seguridad

IMPORTANTE: para que el ejercicio pueda considerarse como resuelto, se debe presentar un
reporte detallado de todo el análisis realizado para responder a las consultas planteadas.

Herramientas:

Listado de herramientas utilizadas:

 Herramienta1
o Sitio oficial de la herramienta
 Herramienta2
o Sitio oficial de la herramienta

Informe ejecutivo:

A rellenar por el alumno

Informe técnico:

A rellenar por el alumno