Contexto

El contable Roman McGuire informó al CISO de su organización de que recibió un SMS de Bank Of America informando de un acceso a su cuenta bancaria en línea, pero él está absolutamente seguro de que no inició sesión en la fecha indicada. Dada la posición de responsabilidad de este empleado, el CISO de su organización te llama para investigar el evento. Tras una conversación con Roman Mcguire, lo único fuera de lo común estos días fue que una factura enviada por correo electrónico desde la plataforma con la que trabaja habitualmente, proformainvoices.com, no abría correctamente. Por casualidad, recuerdas que por esa época un colega del SOC comentó que los IDS de la organización no paran de dar alertas y habló de una que le hizo gracia: "Posible Violación de Privacidad Corporativa - ET POLICY PE EXE o DLL archivo Windows descarga HTTP".

Objetivos:

Haz una investigación de tráfico en la red para determinar si realmente hubo un incidente o el contador accedió a la banca en línea y no se acuerda. Si detectas algún incidente relacionado con Hawkeye, escribe un informe sobre el incidente. El informe debe tener 5 secciones:

  1. Resumen ejecutivo: utilizando un lenguaje sencillo, explica claramente lo que sucedió (cuándo, quién y qué) y qué consecuencias puede tener para la organización.
  2. Resumen técnico.
  3. Detalles de la víctima (dirección IP, dirección MAC, ...).
  4. IoC (Indicadores de Compromiso): dir. IP, dominios y URLs asociadas a la infección en formato 'defang', hashes SHA256 y MD5 en el caso de archivos maliciosos.
  5. MITRE: Tácticas y técnicas utilizadas por el oponente.

Ficheros:

  1. Archivo de captura de paquetes Forensic_malware_hawkeye.pcap
  2. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense (en gallego)