Meetup 11, resolviendo Meerkat

En esta meetup, resolví el Sherlock Meerkat usando Wireshark para analizar el trafico de red proporcionado para investigar el incidente que se nos plantea

Detalles

Durante esta edición de la Meetup, la sesión tuvo un enfoque puramente práctico orientado al Blue Team y la Respuesta a Incidentes (IR). El objetivo principal de la jornada fue resolver en vivo el desafío forense "Meerkat" de la plataforma Hack The Box (Sherlocks). El escenario simulaba el compromiso de un servidor corporativo perteneciente a una startup que alojaba la plataforma de gestión empresarial Bonitasoft, siendo nuestra tarea investigar el origen y alcance de la brecha. Para lograrlo, realizamos un análisis exhaustivo de evidencia combinada: capturas de tráfico de red (PCAP) y logs generados por sistemas de detección de intrusos (IDS) en formato JSON. Utilizando Wireshark para la inspección profunda de paquetes (Deep Packet Inspection), filtramos y analizamos la capa de aplicación para reconstruir los movimientos del atacante. Los hitos técnicos y hallazgos durante la resolución del caso incluyeron: Detección de Credential Stuffing: Analizando las peticiones POST, identificamos múltiples anomalías dirigidas al endpoint /bonita/loginservice. Determinamos que el atacante no realizó un ataque de fuerza bruta tradicional, sino una inyección de credenciales (credential stuffing) automatizada utilizando diccionarios filtrados. Identificación del Vector de Compromiso: Al correlacionar las conversaciones de red con las firmas de las alertas IDS, confirmamos que el atacante logró acceso inicial explotando con éxito la vulnerabilidad crítica CVE-2022-25237 (ejecución de código remoto que afecta a la API de Bonitasoft). Reconstrucción del Incidente: Extraímos los payloads de las tramas HTTP para entender exactamente qué comandos fueron ejecutados en el servidor una vez vulnerado. Esto permitió documentar los Indicadores de Compromiso (IOCs) y plantear el plan de remediación correspondiente. Esta demostración en vivo sirvió para aplicar metodologías reales de triage de alertas y análisis de tráfico bajo un contexto de crisis simulada, habilidades fundamentales para cualquier analista de un Centro de Operaciones de Seguridad (SOC). Video de la meetup https://drive.google.com/file/d/1m4ysk2lKPaWxSud_wvBnzyW5NSdirlvp/view?usp=sharing