Wir haben die Analyse von Cybervorfällen mit ELK Kibana oder Elastic Search behandelt. Wir haben HTTP-Protokolle von einem kompromittierten Windows-Rechner untersucht, der mit dem C2-Server kommuniziert. Dies war Teil von Versuchen SieHackMe ItsyBitsy.
Holen Sie sich Blue Team Notes
Beschreibung der Herausforderung
Während der normalen SOC-Überwachung John Ich habe einen Alarm bei einer IDS-Lösung beobachtet, der auf eine potenzielle C2-Kommunikation von einem Benutzer hinweist Browne von der Personalabteilung. Es wurde auf eine verdächtige Datei zugegriffen, die ein bösartiges Muster enthielt THM:{ ________ }. Zur Untersuchung wurden einwöchige HTTP-Verbindungsprotokolle abgerufen. Aufgrund begrenzter Ressourcen konnten nur die Verbindungsprotokolle abgerufen und in das Verbindungsprotokolle Index in Kibana.
Raumantworten
Wie viele Ereignisse wurden für den Monat März 2022 zurückgegeben?
Der Computer des Benutzers hat eine legitime Windows-Binärdatei verwendet, um eine Datei vom C2-Server herunterzuladen. Wie lautet der Name der Binärdatei?
Der infizierte Rechner stellte in diesem Zeitraum eine Verbindung zu einer bekannten Filesharing-Site her, die auch als C2-Server fungierte und von den Malware-Autoren zur Kommunikation genutzt wurde. Wie lautet der Name der Filesharing-Site?
Wie lautet die vollständige URL des C2, mit dem der infizierte Host verbunden ist?
Auf der Filesharing-Site wurde auf eine Datei zugegriffen. Wie lautet der Name der aufgerufenen Datei?
Die Datei enthält einen Geheimcode im Format THM{_____}.
Video-Transkript
Was ist heute auf YouTube los? Wir machen die TryHackMe Itsy Bitsy-Challenge, bei der Sie Ihre Fähigkeiten zur Reaktion auf Vorfälle durch Analyse unter Beweis stellen müssen.
Zur Untersuchung wurden HTTP-Verbindungsprotokolle abgerufen. Also gut, der Analyst hat die Paketerfassung des Datenverkehrs abgerufen. Die Verbindungsprotokolle konnten abgerufen und in den Verbindungsprotokollindex in Kibana aufgenommen werden, also benötigen wir ähnlich wie in Splunk einen Index zur Analyse, um die Daten zu speichern. Wir haben insgesamt 1.482 Ereignisse. Das ist die erste Frage. Welche IP ist dem verdächtigen Benutzer in den Protokollen zugeordnet? Wir haben herausgefunden, dass der Computer des Benutzers Brown kompromittiert wurde und sein Computer mit dem C2-Server kommuniziert. Also müssen wir offensichtlich die IP-Adresse des braunen Computers herausfinden.
Wir haben die Felder, die von Kibana extrahiert wurden. Wir haben das Quell-IP-Feld und wie Sie sehen, wurden 99% der Ereignisse von dieser IP-Adresse generiert, die mit 52 endet.
Und 0,4% der Ereignisse wurden von der IP generiert, die mit 54 endet. Okay. Welche ist nun nach gesundem Menschenverstand die richtige? Es ist offensichtlich die IP, die die Kommunikation mit dem C2-Server generiert.
Hier zum Filtern, wie Sie sehen, haben wir nur zwei Ereignisse von dieser IP-Adresse. Schauen Sie sich die Ereignisse an. Die Kommunikation erfolgt also über Port 80 und pastebin.com, eine Filesharing-Site
Und das ist die Quell-IP-Adresse. Das ist die URL. Wenn Sie jetzt neugierig genug sind, um herauszufinden, was diese URL ist, nehmen Sie pastel.com. Und wie Sie sehen, greifen wir auf eine Datei namens secret.txt zu. Sie hat das Flag. Damit haben Sie also alle Fragen beantwortet.
Außerdem gibt es einen Agenten, und es ist ganz offensichtlich, dass er nicht zu einem Browser gehört, sondern zu einer Anwendung. Richtig? Denn wenn er zu einem Browser gehört, dann wäre es Chrome, Mozilla, Safari, Opera, oder? Offensichtlich wurde dieser Benutzer Asian entweder manuell von der Person ausgewählt, die den Download durchführt, oder von der Anwendung. Das ist also die Antwort.
Die infizierte Maschine war in diesem Zeitraum mit der bekannten Filesharing-Site verbunden, die jetzt auch als C2-Server fungiert. Aber im Grunde könnt ihr den Rest der Fragen beantworten, indem ihr einfach diese beiden herausfindet.
Video-Komplettlösung
