Saltar a contenido

UD 3 - Escenario 1 CTF: contención

Escenario 1: contención de un acceso remoto comprometido

En este escenario vais a resolver una secuencia de retos tipo CTF a partir del fichero de evidencias Escenario1-Contenicion.csv.

La situación reproduce los 20 minutos iniciales de un incidente en el que deberéis detectar señales de compromiso y decidir las medidas de contención más adecuadas.

Objetivo didáctico

El objetivo principal no es hacer análisis forense completo, sino identificar correctamente las medidas de contención: qué capa se prioriza, qué evidencias mínimas conviene preservar y qué acciones ayudan a frenar movimiento lateral, exfiltración y reentrada.

1. Instrucciones

  • Trabajad solo con el CSV y con el contenido teórico del tema 3.5.1.
  • Cada reto se responde con una bandera exacta.
  • Respetad mayúsculas, minúsculas, guiones bajos y formato indicado.
  • Si la plataforma lo permite, ocultad las soluciones durante la resolución.

2. Contexto del caso

La empresa TransIberia Logística detecta actividad anómala vinculada a un acceso VPN. En pocos minutos aparecen conexiones SMB hacia servidores internos, ejecución sospechosa de powershell.exe y 7z.exe, tráfico HTTPS saliente a un dominio no categorizado y una verificación telefónica que confirma que la usuaria legítima no ha realizado ese acceso.

3. Retos CTF

Reto 1

Objetivo: identificar la cuenta potencialmente comprometida.

Enunciado: ¿Qué usuario inicia la sesión VPN que da comienzo al incidente?

Bandera esperada: FLAG{usuario}

Pista: busca el primer acceso VPN aceptado y anota solo el identificador de usuario.

Solución: FLAG{m.soto}

El CSV muestra un inicio de sesión VPN aceptado para m.soto a las 08:17. Ese acceso es el primer hito del incidente y, más adelante, queda reforzado por la confirmación telefónica de que la usuaria legítima no se ha conectado.

Reto 2

Objetivo: localizar el origen inmediato del acceso remoto sospechoso.

Enunciado: ¿Qué IP de cliente queda asociada a la sesión VPN anómala?

Bandera esperada: FLAG{IP}

Pista: busca el evento vpn_login_success.

Solución: FLAG{185.199.110.47}

La IP pública 185.199.110.47 aparece asociada al acceso VPN aceptado. Es la primera señal externa que conviene revisar porque no pertenece al patrón habitual de la usuaria.

Reto 3

Objetivo: detectar la IP interna que el atacante utiliza tras entrar por VPN.

Enunciado: ¿Qué IP interna del pool VPN genera las conexiones SMB hacia los servidores?

Bandera esperada: FLAG{IP_INTERNA}

Pista: revisa los eventos del firewall interno y localiza la IP de origen en las conexiones a 445/tcp.

Solución: FLAG{172.16.99.23}

La IP 172.16.99.23 es la dirección asignada por la VPN al acceso sospechoso y desde ella se observan conexiones SMB contra varios servidores. Esto apunta a una fase de movimiento lateral o reconocimiento interno.

Reto 4

Objetivo: identificar el primer host crítico impactado.

Enunciado: ¿Qué servidor presenta la combinación más clara de ejecución sospechosa y tráfico saliente anómalo?

Bandera esperada: FLAG{HOST}

Pista: cruza el evento del EDR con el del proxy y fíjate en el mismo host.

Solución: FLAG{FS-02}

FS-02 es el servidor donde se observa la ejecución de powershell.exe lanzando 7z.exe y después una conexión HTTPS al dominio sospechoso. Es el principal candidato a contención en la capa endpoint o servidor.

Reto 5

Objetivo: localizar el dominio sospechoso relacionado con posible exfiltración o C2.

Enunciado: ¿Qué dominio aparece en el tráfico HTTPS saliente de FS-02?

Bandera esperada: FLAG{dominio}

Pista: revisa el evento del proxy posterior a la ejecución de 7z.exe.

Solución: FLAG{sync-data-help.com}

El dominio sync-data-help.com aparece poco después de la actividad sospechosa en FS-02. En un escenario de contención, bloquear este dominio o su tráfico asociado es una medida táctica razonable para cortar posible exfiltración o comunicación con infraestructura del atacante.

Reto 6

Objetivo: identificar la evidencia más clara de posible empaquetado de datos.

Enunciado: ¿Qué binario se ejecuta desde una carpeta temporal en FS-02 y refuerza la hipótesis de preparación de exfiltración?

Bandera esperada: FLAG{binario}

Pista: busca el proceso hijo lanzado por powershell.exe.

Solución: FLAG{7z.exe}

La ejecución de 7z.exe desde una ruta temporal es relevante porque encaja con un posible empaquetado o compresión de información antes de su salida del entorno corporativo.

Reto 7

Objetivo: delimitar el riesgo principal durante los primeros minutos.

Enunciado: Según las evidencias, ¿cuál es la combinación de riesgos más coherente en la fase inicial?

Bandera esperada: FLAG{RIESGO1_RIESGO2_RIESGO3}

Pista: usa mayúsculas y separa con _ los tres riesgos priorizados en la solución orientativa: MOVIMIENTO-LATERAL, REENTRADA, EXFILTRACIÓN, ENCRIPTACIÓN. Solo tres, en orden alfabetico, y sin espacios.

Solución: FLAG{EXFILTRACION_MOVIMIENTO-LATERAL_REENTRADA}

Las conexiones SMB apuntan a movimiento lateral, la cuenta válida permite reentrada por identidad y el uso de 7z.exe junto con tráfico HTTPS saliente sugiere exfiltración. No hay evidencia suficiente de cifrado activo en esta fase.

Reto 8

Objetivo: decidir la primera capa de contención táctica.

Enunciado: ¿Qué capa debe priorizarse en primer lugar para evitar que el atacante siga operando con credenciales válidas?

Bandera esperada: FLAG{CAPA}

Pista: piensa qué seguiría abierto si solo aislas el servidor afectado.

Solución: FLAG{IDENTIDAD}

La contención debe empezar por identidad porque la cuenta comprometida sigue siendo válida. Si solo se aísla FS-02, el atacante puede reutilizar la sesión o volver a entrar por otra vía con las mismas credenciales.

Reto 9

Objetivo: resumir el orden correcto de la contención táctica inicial.

Enunciado: ¿Cuál es la secuencia correcta de capas para la contención táctica inicial?

Bandera esperada: FLAG{CAPA1_CAPA2_CAPA3}

Pista: usa tres capas en mayúsculas separadas por _, siguiendo el orden de la solución orientativa.

Solución: FLAG{IDENTIDAD_RED_ENDPOINT}

La secuencia correcta es identidad, red y endpoint. Primero se corta la capacidad de reentrada, después se frena movimiento lateral o salida de datos y finalmente se aísla el servidor comprometido.

Reto 10

Objetivo: identificar la evidencia volátil más valiosa si se puede capturar sin retrasar la respuesta.

Enunciado: ¿Qué tipo de evidencia se perdería con más facilidad si se apaga el servidor de forma brusca?

Bandera esperada: FLAG{EVIDENCIA}

Pista: responde con una sola palabra en mayúsculas, la más representativa.

Solución: FLAG{MEMORIA}

La memoria RAM es la evidencia volátil más sensible porque puede contener procesos, conexiones, credenciales en uso y otros artefactos que desaparecen al apagar el sistema.

Reto 11

Objetivo: escoger la acción que debe evitarse demasiado pronto.

Enunciado: ¿Qué acción inicial sería incorrecta si elimina evidencia volátil y no está justificada por un daño irreversible inmediato?

Bandera esperada: FLAG{ACCION_HOST}

Pista: usa un verbo en infinitivo y el host separados por _.

Solución: FLAG{APAGAR_FS-02}

Apagar FS-02 de forma brusca puede destruir evidencia volátil útil. La teoría de contención insiste en capturar un mínimo viable de datos si eso no retrasa una contención urgente.

Reto 12

Objetivo: decidir una medida táctica de red alineada con el escenario.

Enunciado: ¿Qué segmento debe bloquearse desde el pool VPN para cortar el movimiento lateral hacia los servidores internos?

Bandera esperada: FLAG{RED}

Pista: responde con el segmento CIDR exacto.

Solución: FLAG{10.30.20.0/24}

El segmento 10.30.20.0/24 agrupa los servidores internos a los que llega la actividad SMB sospechosa. Bloquear el acceso desde el pool VPN hacia ese segmento es una contención táctica coherente con la solución.

Reto 13

Objetivo: reconocer el activo que debe protegerse para asegurar la recuperación posterior.

Enunciado: ¿Qué sistema debe aislarse lógicamente para evitar que el ataque comprometa la capacidad de recuperación?

Bandera esperada: FLAG{ACTIVO}

Pista: no es un host del incidente, sino un recurso clave para la fase de recuperación: @@@@@@

Solución: FLAG{BACKUP}

Las copias de seguridad son un activo crítico durante la contención. Si el atacante las alcanza, la organización pierde capacidad de recuperación y el impacto del incidente aumenta.

Reto 14

Objetivo: fijar una medida estratégica posterior para reducir reentrada.

Enunciado: ¿Qué control de autenticación debe reforzarse de forma explícita en las siguientes horas o días?

Bandera esperada: FLAG{CONTROL}

Pista: es un mecanismo de autenticación @@@.

Solución: FLAG{MFA}

Entre las medidas estratégicas propuestas está el refuerzo de MFA y la revisión de políticas de acceso VPN por geolocalización o riesgo. No resuelve por sí solo el incidente inicial, pero ayuda a evitar reentrada.

4. Validación docente

Este escenario queda validado frente a lo pedido porque:

  • las preguntas se centran en medidas de contención y no en forense profundo;
  • las banderas están diseñadas para autocorrección exacta;
  • las respuestas se apoyan en el CSV y en la solución orientativa de la práctica;
  • las pistas son breves, uniformes y suficientes para guiar sin regalar la respuesta;
  • las reglas de contención propuestas son coherentes con la teoría: prioridad de identidad, contención de red, aislamiento de endpoint, preservación mínima de evidencia y protección de copias de seguridad.