T1043 - Exfiltración de Credenciales Mediante Protocolos de Red Inseguros

PreviousCriptografia. Cifrado e Historia

Last updated 19 hours ago

T1043 - Exfiltración de Credenciales Mediante Protocolos de Red Inseguros

🛡️ Reporte Técnico

T1043 - Exfiltración de Credenciales Mediante Protocolos de Red Inseguros

🎯 Scope

Nombre del archivo .rar entregado: RetoRedes_v1.0.rar
Hash SHA-256 del archivo .rar: 40536b2a07e5190c4197544ae2cf547e912a90e4a11bc88aac1517a14425edd9
Archivo descomprimido: RetoRedes_v1.0.ova
Hash SHA-256 del .ova: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
URL descarga:

📌 Informe Ejecutivo

Resumen: Se encontró una máquina en la red interna que constantemente envía paquetes a todas las máquinas de la misma red exponiendo su usuario y contraseña.

Analogía: Imaginemos que en un hotel, una persona está en la puerta de su habitación gritando: “Hola, mi llave de la habitación está en la puerta de la habitación 3333”.

Si escuchamos atentamente, nos dirá que la clave está en la puerta 4444. Al llegar, una persona nos recibe diciendo: “Bienvenido a la habitación Administrador”.

Si decimos help o ayuda, veremos un menú con opciones. Si decimos en voz alta getpassword, el sistema nos dará el usuario y contraseña. Esto nos permite ingresar a su habitación (es decir, al sistema), pero no a la caja fuerte llamada root.

🧾 Introducción

La máquina transmite paquetes sin cifrar a otras dentro de la red.
Revela públicamente la existencia de un panel de administración.
El comando getpassword entrega credenciales sin cifrado.
El acceso parcial permite control casi total del sistema.

🎯 Alcance del Ataque

Se accedió al entorno de administración usando comandos legítimos.
Las credenciales fueron expuestas en texto plano.
No se accedió al usuario root, pero se podría escalar.
Nivel de riesgo: Alto Exposición de información crítica, sin detección y con autenticación débil.

🖧 Diagrama de Red (Mermaid)

❌ Problemas Identificados

Panel de administración visible en el puerto 4444.
Comando getpassword accesible.
Contraseña débil (noteladigo).

✅ Recomendaciones

Eliminar el comando getpassword.
Reforzar las contraseñas. Usar al menos 12 caracteres con símbolos, mayúsculas y minúsculas.

🧪 Informe Técnico

Este análisis documenta el comportamiento de una máquina comprometida en una red interna, en un contexto de simulación controlada.

🔧 Herramientas Empleadas

VirtualBox
Kali Linux
Wireshark
Tabby Terminal
NCat

🧨 Explotación

Comunicación entre IPs:
- Víctima: 10.0.2.5
- Atacante: 10.0.2.15
Se detecta tráfico sospechoso al puerto 3333.
Paquete recibido indica el uso del puerto 4444 para administración.
Se conecta mediante:
```
nc 10.0.2.5 4444
```
Al ejecutar help, se ofrece el comando getpassword.

La respuesta es el string hexadecimal:

4c6120636f6e737472617365c3b1612064652061646d696e6973747261646f722065733a206e6f74656c616469676f0a

Decodificado indica: “La contraseña de administrador es: noteladigo”

🔗 Recursos Adicionales

Zip Password: thebridgeredesentrega
Referencias:

PreviousCriptografia. Cifrado e Historia

Last updated 19 hours ago

🛡️ Reporte Técnico

T1043 - Exfiltración de Credenciales Mediante Protocolos de Red Inseguros

🎯 Scope

Nombre del archivo .rar entregado: RetoRedes_v1.0.rar
Hash SHA-256 del archivo .rar: 40536b2a07e5190c4197544ae2cf547e912a90e4a11bc88aac1517a14425edd9
Archivo descomprimido: RetoRedes_v1.0.ova
Hash SHA-256 del .ova: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
URL descarga:

📌 Informe Ejecutivo

Resumen: Se encontró una máquina en la red interna que constantemente envía paquetes a todas las máquinas de la misma red exponiendo su usuario y contraseña.

Analogía: Imaginemos que en un hotel, una persona está en la puerta de su habitación gritando: “Hola, mi llave de la habitación está en la puerta de la habitación 3333”.

Si escuchamos atentamente, nos dirá que la clave está en la puerta 4444. Al llegar, una persona nos recibe diciendo: “Bienvenido a la habitación Administrador”.

🧾 Introducción

La máquina transmite paquetes sin cifrar a otras dentro de la red.
Revela públicamente la existencia de un panel de administración.
El comando getpassword entrega credenciales sin cifrado.
El acceso parcial permite control casi total del sistema.

🎯 Alcance del Ataque

Se accedió al entorno de administración usando comandos legítimos.
Las credenciales fueron expuestas en texto plano.
No se accedió al usuario root, pero se podría escalar.
Nivel de riesgo: Alto Exposición de información crítica, sin detección y con autenticación débil.

🖧 Diagrama de Red (Mermaid)

❌ Problemas Identificados

Panel de administración visible en el puerto 4444.
Comando getpassword accesible.
Contraseña débil (noteladigo).

✅ Recomendaciones

Eliminar el comando getpassword.
Reforzar las contraseñas. Usar al menos 12 caracteres con símbolos, mayúsculas y minúsculas.
Sugerencia:

🧪 Informe Técnico

Este análisis documenta el comportamiento de una máquina comprometida en una red interna, en un contexto de simulación controlada.

🔧 Herramientas Empleadas

VirtualBox
Kali Linux
Wireshark
Tabby Terminal
NCat

🧨 Explotación

Comunicación entre IPs:
- Víctima: 10.0.2.5
- Atacante: 10.0.2.15
Se detecta tráfico sospechoso al puerto 3333.
Paquete recibido indica el uso del puerto 4444 para administración.
Se conecta mediante:
```
nc 10.0.2.5 4444
```
Al ejecutar help, se ofrece el comando getpassword.

La respuesta es el string hexadecimal:

4c6120636f6e737472617365c3b1612064652061646d696e6973747261646f722065733a206e6f74656c616469676f0a

Decodificado indica: “La contraseña de administrador es: noteladigo”

🔗 Recursos Adicionales

Drive:
Zip Password: thebridgeredesentrega
Referencias: