Contexto

Dada la criticidad de la vulnerabilidad Log4Shell y la información que indica que está siendo ampliamente explotada, el CISO de tu organizaci&oactue;n decide quitarte temporalmente de tu puesto como analista del SOC (Centro de Operaciones de Seguridad) y asignarte un puesto de cazador de amenazas. Investiga un poco del tráfico de red para determinar si ha habido incidentes relacionados con Log4shell.

Objetivos:

Si detecta algún incidente relacionado con Log4shell, investigue el incidente y escriba un informe sobre el incidente. El informe debe tener 5 secciones:

  1. Resumen ejecutivo: utilizando un lenguaje sencillo, explica claramente lo que sucedió (cuándo, quién y qué) y qué consecuencias puede tener para la organización.
  2. Resumen técnico.
  3. Detalles de la víctima (dirección IP, dirección MAC, ...).
  4. IoC (Indicadores de Compromiso): dir. IP, dominios y URLs asociadas a la infección en formato 'defang', hashes SHA256 y MD5 en el caso de archivos maliciosos.
  5. MITRE: Tácticas y técnicas utilizadas por el oponente.

Ficheros:

  1. Archivo de captura de paquetes log4j.pcapng
  2. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense (en gallego)