الفريق الأزرق | التحقيق في البرامج الضارة والبريد العشوائي باستخدام Wireshark
جربHackMe المذبحة
قمنا بتغطية تحليل حادثة مع Wireshark. استخدمنا مرشحات Wireshark للتحقيق في البرامج الضارة ونشاطها والكشف عنها.
اشترك في عضويتي في قناتي على اليوتيوب ليصلك ملاحظات الأمن السيبراني. ويتضمن ملاحظات حول wireshark أيضًا.
تلقى إريك فيشر من قسم المشتريات في شركة Bartell Ltd رسالة بريد إلكتروني من جهة اتصال معروفة تحتوي على مرفق مستند Word. عند فتح المستند، قام بالنقر بالخطأ على "تمكين المحتوى". تلقى قسم SOC على الفور تنبيهًا من وكيل نقطة النهاية بأن محطة عمل Eric كانت تجري اتصالات خارجية مشبوهة. تم استرداد PCAP من مستشعر الشبكة وتسليمه إليك لتحليله.
احصل على ملاحظات الفريق الأزرق
مهمة: التحقيق في التقاط الحزمة والكشف عن الأنشطة الضارة.
* يذهب الائتمان إلى براد دنكان لالتقاط حركة المرور ومشاركة التقاط حزمة pcap مع مجتمع InfoSec.
إجابات التحدي
ما هو التاريخ والوقت لأول مرة HTTP اتصال IP الخبيثة؟
(تنسيق الإجابة: yyyy-mm-dd hh:mm:ss)
ما اسم الملف المضغوط الذي تم تنزيله؟
بدون تنزيل الملف ما هو اسم الملف الموجود في الملف المضغوط؟
ما اسم خادم الويب الخاص بعنوان IP الضار الذي تم تنزيل الملف المضغوط منه؟
ما هو إصدار خادم الويب من السؤال السابق؟
تم تنزيل الملفات الضارة إلى المضيف الضحية من مجالات متعددة. ما كان الثلاثة المجالات المشاركة في هذا النشاط؟
ما هو المرجع المصدق الذي أصدر شهادة SSL للمجال الأول من السؤال السابق؟
ما هو اسم المجال لحركة ما بعد الإصابة؟
ما هي الأحرف الأحد عشر الأولى التي يرسلها مضيف الضحية إلى المجال الضار المتضمن في حركة مرور ما بعد الإصابة؟
ما هو رأس الخادم للمجال الضار من السؤال السابق؟
استخدمت البرامج الضارة واجهة برمجة التطبيقات (API) للتحقق من عنوان IP الخاص بجهاز الضحية. ما هو التاريخ والوقت الذي تم فيه DNS حدث الاستعلام عن مجال التحقق من IP؟ (تنسيق الإجابة: yyyy-mm-dd hh:mm:ss UTC)
ما هو المجال في DNS استعلام من السؤال السابق؟
كم عدد الحزم التي تمت ملاحظتها لـ SMTP مرور؟