Descubrimiento de Consultas DNS Sospechosas

Introducción

En este desafío, asumirás el rol de un analista de ciberseguridad encargado de investigar una posible filtración de datos a través de consultas DNS. Tu misión consiste en analizar el tráfico de red capturado en un archivo pcapng para identificar todos los nombres de dominio consultados que podrían revelar una comunicación con servidores de comando y control (C2).

Utilizarás tshark, el analizador de protocolos de red por línea de comandos, para extraer los nombres de las consultas DNS del archivo de captura. El desafío requiere que filtres el tráfico DNS, extraigas los nombres de las consultas, los ordenes alfabéticamente, elimines los duplicados y guardes los resultados en un archivo para un análisis posterior. Este ejercicio práctico fortalecerá tus habilidades en el análisis de tráfico de red y te ayudará a detectar actividades DNS sospechosas que podrían indicar un comportamiento malicioso.

Descubrimiento de Consultas DNS Sospechosas

Como analista de ciberseguridad, se te ha encomendado la tarea de investigar una posible exfiltración de datos mediante consultas DNS. Tu trabajo es analizar el tráfico de red e identificar todos los nombres de dominio que fueron consultados, lo que podría revelar comunicaciones con servidores de comando y control.

Tareas

• Extraer todos los nombres de consultas DNS del archivo de captura proporcionado, ordenarlos alfabéticamente, eliminar duplicados y guardar los resultados en un archivo para su análisis.

Requisitos

• Utilizar el comando tshark para analizar el archivo de captura de tráfico de red ubicado en /home/labex/project/capture.pcapng
• Filtrar el archivo de captura para mostrar únicamente el tráfico DNS
• Extraer solo los nombres de las consultas DNS utilizando la función de extracción de campos de tshark
• Ordenar los resultados alfabéticamente
• Eliminar las entradas duplicadas
• Guardar la lista final en /home/labex/project/domains.txt
• Todas las operaciones deben realizarse mediante una única tubería (pipeline) de comandos

Ejemplos

Si extraes correctamente los nombres de las consultas DNS del archivo de captura, tu archivo /home/labex/project/domains.txt debería contener entradas similares a estas:

amazon.com
example.com
google.com
...

Nota: Los dominios reales en tu archivo pueden variar dependiendo de las consultas DNS específicas capturadas en el archivo proporcionado.

Pistas

• Utiliza la opción de filtro -Y "dns" para enfocarte solo en los paquetes del protocolo DNS
• El campo del nombre de la consulta DNS se puede extraer usando -T fields -e dns.qry.name
• Recuerda que los comandos de Linux se pueden encadenar usando tuberías (|)
• Los comandos sort y uniq son útiles para organizar la salida de datos

Resumen

En este desafío, analicé el tráfico de red para identificar una posible exfiltración de datos a través de consultas DNS utilizando tshark, la versión de línea de comandos de Wireshark. Extraje los nombres de las consultas DNS de un archivo de captura, los ordené alfabéticamente, eliminé los duplicados y guardé los resultados en un archivo para un análisis posterior, desarrollando habilidades prácticas en el análisis de tráfico de red y el filtrado mediante línea de comandos.

El desafío simuló un escenario de ciberseguridad del mundo real donde la identificación de consultas de dominio sospechosas es crucial para detectar comunicaciones de comando y control o intentos de exfiltración de datos. Al aprender a utilizar las capacidades de extracción de campos de tshark específicamente para el tráfico DNS, adquirí una experiencia valiosa en monitoreo de seguridad y forense de red que puede aplicarse para identificar actividades de red potencialmente maliciosas.