Universidad Especializada De Las Américas

Extensión Coclé
II Semestre

Actividad #1 de:
Informática

por:
Omar Gramunt

Cedula:
2-745-2302

Profesora:
Xenia Domínguez

Carrera:
Licenciatura En Investigación Criminal y Seguridad
 Tutorial

Herramienta (SOF-ELK)
No hay escasez de evidencia digital, con muchos equipos de
DFIR y Operaciones de Seguridad manejando terabytes de datos
de registro y de red por semana. Esta cantidad de datos presenta
desafíos únicos, y muchas herramientas son simplemente
inadecuadas a una escala tan grande. Las plataformas
comerciales que están a la altura de la tarea a menudo están
fuera del alcance presupuestario de las organizaciones pequeñas
y medianas.

Elastic Stack, una plataforma de análisis y almacenamiento de

grandes datos, se ha vuelto cada vez más popular debido a su
escalabilidad y componentes de código abierto. Innumerables
equipos de investigación y seguridad han incorporado Elastic en
sus kits de herramientas, a menudo realizando el significativo
nivel de esfuerzo requerido para personalizar y administrar una
herramienta tan poderosa. Para superar algunos de estos
obstáculos, se creó la plataforma SOF-ELK. SOF-ELK pretende
ser una máquina virtual similar a un dispositivo que esté
preconfigurada para ingerir y analizar varios cientos de tipos
diferentes de entradas de registro, así como datos de NetFlow.
La intención es proporcionar a los analistas e investigadores una
herramienta que aproveche el poder de Elastic Stack con un
tiempo y esfuerzo mínimos de configuración. Originalmente
parte del curso SANS FOR572, Advanced Network Forensics &
Threat Hunting, SOF-ELK se ha incorporado a cursos SANS
adicionales y se lanzó como una plataforma gratuita y de código
abierto para la comunidad de seguridad en general.
 AUTOR
CREADOR DE LA HERRAMIENTA

Philip Hagen

es el líder del curso y autor de FOR572, Análisis y análisis

forenses de red avanzados, un curso que proporciona un plan de
estudios práctico sobre las habilidades necesarias para realizar
investigaciones de incidentes basados en la red, donde a menudo
faltan los discos duros o la memoria de los sistemas
comprometidos.

Phil también pasa tiempo desarrollando y manteniendo la

distribución SOF-ELK. SOF-ELK es un dispositivo virtual que
está preconfigurado con la pila ELK (Elasticsearch, Logstash y
Kibana), y se proporciona como una herramienta gratuita para
ayudar a la Comunidad DFIR a aumentar la eficiencia y la
efectividad de los casos. Phil es un mentor y maestro de
corazón, una de sus mayores fuentes de orgullo profesional.
 PASO 1

Panel de registro de HTTPD

Un resumen de recuento de eventos, ASN de origen por

recuento (puede ver de inmediato dónde me escaneé del trabajo),
un fantástico mapa de origen de acceso, un gráfico de registros
por verbos HTTP y uno por códigos de respuesta.
La belleza de estos paneles SOF-ELK es que son
inmediatamente interactivos y le permiten profundizar en puntos
de datos interesantes. El sitio web holisticinfosec.org es
intencionalmente plano e no incluye PHP activo ni contenido
dinámico.
 Paso 2

pico de raffic del escaneo

Esto se visualiza bien, pero en realidad no es tan interesante o

poco común, sobre todo teniendo en cuenta que sé que
personalmente ejecuté el escaneo, y los escaneos de las
Intarwebs cuestan una docena. Sin embargo, lo que me llamó la
atención, como se ve en la Figura 1, fue la presencia de cuatro
solicitudes PUT
Después de hacer clic en la línea del gráfico con las cuatro
solicitudes PUT, rápidamente aprendí que dos solicitudes
provenían de 204.12.194.234 AS32097: WholeSale Internet en
Kansas City, MO y dos provenían de 119.23.233.9 AS37963:
Hangzhou Alibaba Advertising en Hangzhou, China. Esto está
bien representado en el mapa del panel Fuente de acceso
HTTPD .
 Paso 3
Descubrir

Ese es un pequeño y maravilloso viaje de caza a través de

registros HTTPD, pero ¿qué tal un poco de Syslog? Descubrí
una rareza probable que podría correlacionarse en varios
registros de ejercicio, veremos si la correlación es real. Notarás
pestañas en la parte superior de tu interfaz de usuario SOF-ELK;
Usaremos Discover para este experimento. Comencé desde el
Panel de Syslog con mi rango de tiempo establecido
ampliamente en los últimos dos meses. Se presentaron 7606
registros, cortados cuidadosamente por hosts y programas
 Paso final
Malware keyword

Más importante aún, tenemos una dirección IP para pivotar:

10.3.59.53. Una búsqueda de esa IP en los mismos registros de
6778 Squid arrojó 3896 entradas específicas para esta IP, y
muchas cosas por las que sentir curiosidad:
Salté al nombre_log desde el anfitrión de la musa para ver qué
más podría revelarse. Aquí es donde salté a Discover, la
funcionalidad de consulta tipo Splunk inherente a SOF-ELK (y
las implementaciones de ELK). Hice una consulta reductiva para
ver qué otras rarezas podrían aparecer: 10.3.59.53 Y dns_query:
(* .co.uk OR * .de OR * .eu OR * .info OR * .cc OR * .online
OR * .website) . Usé estos TLD basados en la premisa de que
los bots que usan Algoritmos de generación de dominio (DGA)
a menudo usarán los TLD. Vea el DGA de PadCrypt para
obtener más información, así como la lógica OSINT del
manejador de ISC Diary John Bambanek. Los resultados de la
consulta fueron bastante satisfactorios, 29 aciertos, incluidos
varios dominios claramente generados al azar. Los que fueron
más interesantes incluyeron el .cc TLD, así que amplié más.
Hasta cinco hits con 10.3.59.53 Y dns_query: * .cc.