Oski Lab – CyberDefenders Write-up

Nivel: Media
SO: Linux (Ubuntu)
Dirección IP: 10.10.10.10
Categoría: CTF / Retirada
Etiquetas: WordPress, CVE-2015-6668, Esteganografía, Claves SSH, Escalada de privilegios, Binarios SUID

Introducción

En mi camino de formación en ciberseguridad defensiva (Blue Team), estoy trabajando con laboratorios prácticos de la plataforma CyberDefenders. El reto de OSKI Lab me ha ayudado a profundizar en el análisis de malware.

El escenario planteaba un incidente realista:
Un contador de la empresa recibió un correo con el asunto “Urgent New Order” que contenía un archivo adjunto. Al abrirlo, se detectó que el PPT podía ser malicioso. El SIEM disparó una alerta relacionada con la descarga de un archivo sospechoso. Nuestra misión como analistas SOC es investigar el archivo y comprender su comportamiento.

Metodología y herramientas utilizadas

Durante la resolución del laboratorio utilicé diversas herramientas que son habituales en entornos de respuesta a incidentes:

• VirusTotal: para comprobar el hash MD5 del archivo y cotejarlo con múltiples motores antivirus.

• AnyRun: sandbox interactiva que permite observar el comportamiento dinámico del malware.

• Wireshark: para el análisis de tráfico de red y detectar conexiones con posibles servidores de Command & Control (C2).

• AbuseIP/URLScan: para verificar reputación de IPs y dominios.

• MITRE ATT&CK: para mapear las técnicas utilizadas por el malware y relacionarlas con tácticas adversarias conocidas.

Hallazgos principales

1. Hash y creación del malware

   • El hash MD5 del archivo malicioso fue: 12c1842c3ccafe7408c23ebf292ee3d9.

   • VirusTotal mostró que la primera detección data del 28 de septiembre de 2022 a las 17:40.

2. Servidor de Comando y Control (C2)

   • Identifiqué la URL utilizada para comunicarse con el servidor C2.

   • Esta infraestructura permite al atacante enviar órdenes, robar información o desplegar más malware en la máquina comprometida.

3. Biblioteca inicial solicitada

   • El malware intentaba cargar la librería sqlite3.dll, lo que evidencia su intención de interactuar con bases de datos locales.

4. Clave de cifrado RC4

   • En el análisis de AnyRun se descubrió la clave RC4 usada para descifrar cadenas base64 internas, un paso clave para entender su lógica de comunicación.

5. Técnica MITRE ATT&CK empleada

   • El malware utilizaba la técnica de Credential Dumping (T1555) para extraer contraseñas del sistema víctima.

6. Autoeliminación

   • Tras la exfiltración de datos, el malware ejecutaba un timeout de 5 segundos y procedía a eliminar sus propios binarios en directorios como AppData y C:\ProgramData.

Lecciones aprendidas

• La importancia de combinar múltiples fuentes de inteligencia: VirusTotal nos da una visión inicial, pero el sandbox dinámico (AnyRun) aporta contexto más rico.

• Los hashes son fundamentales en ciberseguridad: permiten identificar y rastrear archivos maliciosos de forma inequívoca.

• El uso de sandboxes es esencial para entender cómo se comporta el malware sin poner en riesgo sistemas productivos.

• Mapear con MITRE ATT&CK ayuda a estructurar el conocimiento técnico en un marco estándar, lo que facilita la comunicación dentro de equipos SOC.

• El malware moderno incluye rutinas de evasión y limpieza para dificultar el análisis, lo que obliga a un enfoque metódico y paciente.

Conclusión

El Oski Lab es un ejercicio valioso para quienes buscan afianzar sus habilidades en análisis de malware y respuesta a incidentes. Me permitió practicar el uso de herramientas clave en un SOC y comprender mejor cómo actúan los atacantes una vez logran comprometer un sistema.

Seguiré documentando mis avances en otros laboratorios de CyberDefenders para consolidar un portfolio técnico en Blue Team que refleje mis aprendizajes y evolución profesional.

 Disclaimer

Este artículo tiene fines únicamente educativos. No uses estos métodos en sistemas que no poseas o no tengas autorización para analizar.