T1043 - Exfiltración de Credenciales Mediante Protocolos de Red Inseguros

🛡️ Reporte Técnico

T1043 - Exfiltración de Credenciales Mediante Protocolos de Red Inseguros

🎯 Scope

  • Nombre del archivo .rar entregado: RetoRedes_v1.0.rar

  • Hash SHA-256 del archivo .rar: 40536b2a07e5190c4197544ae2cf547e912a90e4a11bc88aac1517a14425edd9

  • Archivo descomprimido: RetoRedes_v1.0.ova

  • Hash SHA-256 del .ova: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

  • URL descarga: Google Drive

📌 Informe Ejecutivo

Resumen: Se encontró una máquina en la red interna que constantemente envía paquetes a todas las máquinas de la misma red exponiendo su usuario y contraseña.

Analogía: Imaginemos que en un hotel, una persona está en la puerta de su habitación gritando: “Hola, mi llave de la habitación está en la puerta de la habitación 3333”.

Si escuchamos atentamente, nos dirá que la clave está en la puerta 4444. Al llegar, una persona nos recibe diciendo: “Bienvenido a la habitación Administrador”.

Si decimos help o ayuda, veremos un menú con opciones. Si decimos en voz alta getpassword, el sistema nos dará el usuario y contraseña. Esto nos permite ingresar a su habitación (es decir, al sistema), pero no a la caja fuerte llamada root.

🧾 Introducción

  • La máquina transmite paquetes sin cifrar a otras dentro de la red.

  • Revela públicamente la existencia de un panel de administración.

  • El comando getpassword entrega credenciales sin cifrado.

  • El acceso parcial permite control casi total del sistema.

🎯 Alcance del Ataque

  • Se accedió al entorno de administración usando comandos legítimos.

  • Las credenciales fueron expuestas en texto plano.

  • No se accedió al usuario root, pero se podría escalar.

  • Nivel de riesgo: Alto Exposición de información crítica, sin detección y con autenticación débil.

🖧 Diagrama de Red (Mermaid)

Visualizar diagrama en Mermaid Live

❌ Problemas Identificados

  • Panel de administración visible en el puerto 4444.

  • Comando getpassword accesible.

  • Contraseña débil (noteladigo).

✅ Recomendaciones

  • Eliminar el comando getpassword.

  • Reforzar las contraseñas. Usar al menos 12 caracteres con símbolos, mayúsculas y minúsculas.

  • Sugerencia: Generador de contraseñas seguras

🧪 Informe Técnico

Este análisis documenta el comportamiento de una máquina comprometida en una red interna, en un contexto de simulación controlada.

🔧 Herramientas Empleadas

  • VirtualBox

  • Kali Linux

  • Wireshark

  • Tabby Terminal

  • NCat

🧨 Explotación

  • Comunicación entre IPs:

    • Víctima: 10.0.2.5

    • Atacante: 10.0.2.15

  • Se detecta tráfico sospechoso al puerto 3333.

  • Paquete recibido indica el uso del puerto 4444 para administración.

  • Se conecta mediante:

    nc 10.0.2.5 4444

  • Al ejecutar help, se ofrece el comando getpassword.

  • La respuesta es el string hexadecimal:

    4c6120636f6e737472617365c3b1612064652061646d696e6973747261646f722065733a206e6f74656c616469676f0a

  • Decodificado indica: “La contraseña de administrador es: noteladigo”

🔗 Recursos Adicionales

PreviousSQL InjectionNextMan in the middle

Last updated