الفريق الأزرق | التحقيق في البرامج الضارة والبريد العشوائي باستخدام Wireshark

جربHackMe المذبحة

قمنا بتغطية تحليل حادثة مع Wireshark. استخدمنا مرشحات Wireshark للتحقيق في البرامج الضارة ونشاطها والكشف عنها.

اشترك في عضويتي في قناتي على اليوتيوب ليصلك ملاحظات الأمن السيبراني. ويتضمن ملاحظات حول wireshark أيضًا.

تلقى إريك فيشر من قسم المشتريات في شركة Bartell Ltd رسالة بريد إلكتروني من جهة اتصال معروفة تحتوي على مرفق مستند Word. عند فتح المستند، قام بالنقر بالخطأ على "تمكين المحتوى". تلقى قسم SOC على الفور تنبيهًا من وكيل نقطة النهاية بأن محطة عمل Eric كانت تجري اتصالات خارجية مشبوهة. تم استرداد PCAP من مستشعر الشبكة وتسليمه إليك لتحليله.

احصل على ملاحظات الفريق الأزرق

مهمة: التحقيق في التقاط الحزمة والكشف عن الأنشطة الضارة.

* يذهب الائتمان إلى براد دنكان لالتقاط حركة المرور ومشاركة التقاط حزمة pcap مع مجتمع InfoSec. 

إجابات التحدي

ما هو التاريخ والوقت لأول مرة HTTP اتصال IP الخبيثة؟

(تنسيق الإجابة: yyyy-mm-dd hh:mm:ss)

ما اسم الملف المضغوط الذي تم تنزيله؟

ما هو المجال الذي يستضيف الملف المضغوط الضار؟

بدون تنزيل الملف ما هو اسم الملف الموجود في الملف المضغوط؟

ما اسم خادم الويب الخاص بعنوان IP الضار الذي تم تنزيل الملف المضغوط منه؟

ما هو إصدار خادم الويب من السؤال السابق؟

تم تنزيل الملفات الضارة إلى المضيف الضحية من مجالات متعددة. ما كان الثلاثة المجالات المشاركة في هذا النشاط؟

ما هو المرجع المصدق الذي أصدر شهادة SSL للمجال الأول من السؤال السابق؟

ما عنواني IP الخاصين بخوادم Cobalt Strike؟ استخدم VirusTotal (علامة التبويب "المجتمع") للتأكد من تحديد عناوين IP كخوادم Cobalt Strike C2. (تنسيق الإجابة: أدخل عناوين IP بترتيب تسلسلي)
ما هو رأس المضيف لعنوان IP Cobalt Strike الأول من السؤال السابق؟
ما هو اسم المجال لعنوان IP الأول لخادم Cobalt Strike؟ يمكنك استخدام VirusTotal لتأكيد ما إذا كان خادم Cobalt Strike (راجع علامة التبويب "المجتمع").
ما هو اسم المجال لعنوان IP الثاني لخادم Cobalt Strike؟ يمكنك استخدام VirusTotal لتأكيد ما إذا كان خادم Cobalt Strike (راجع علامة التبويب "المجتمع").

ما هو اسم المجال لحركة ما بعد الإصابة؟

ما هي الأحرف الأحد عشر الأولى التي يرسلها مضيف الضحية إلى المجال الضار المتضمن في حركة مرور ما بعد الإصابة؟

ما هو طول الحزمة الأولى التي تم إرسالها إلى خادم C2؟

ما هو رأس الخادم للمجال الضار من السؤال السابق؟

استخدمت البرامج الضارة واجهة برمجة التطبيقات (API) للتحقق من عنوان IP الخاص بجهاز الضحية. ما هو التاريخ والوقت الذي تم فيه DNS حدث الاستعلام عن مجال التحقق من IP؟ (تنسيق الإجابة: yyyy-mm-dd hh:mm:ss UTC)

ما هو المجال في DNS استعلام من السؤال السابق؟

يبدو أنه كانت هناك بعض أنشطة البريد العشوائي الضار (malspam) الجارية. ما هو أول عنوان بريد من تمت ملاحظته في حركة المرور؟

كم عدد الحزم التي تمت ملاحظتها لـ SMTP مرور؟

فيديو تجول

, ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات