Introduction
Dans cette vidéo pas à pas, nous avons expliqué RedLine de Fireeye pour effectuer une réponse aux incidents, une analyse de la mémoire et une analyse judiciaire informatique. C'était la première partie de la vidéo du salle de la ligne rouge de tryhackme.
Obtenez les notes d’étude sur la cybersécurité de l’équipe bleue
Le cours pratique complet sur le framework Metasploit
De nombreux outils peuvent aider un analyste de sécurité ou un intervenant en cas d'incident à effectuer une analyse de la mémoire sur un point final potentiellement compromis. L'un des outils les plus populaires est Volatilité, ce qui permettra à un analyste d'approfondir ses connaissances lors de l'examen des artefacts de mémoire à partir d'un point de terminaison. Mais ce processus peut prendre du temps. Souvent, lorsqu'un analyste effectue un tri, le temps presse et l'analyste doit effectuer une évaluation rapide pour déterminer la nature d'un événement de sécurité.
C'est là que l'outil FireEye Ligne rouge entre en jeu. Redline donnera essentiellement à un analyste une vue à 30 000 pieds (vue de 10 kilomètres de haut) d'un Windows, Linux, ou point de terminaison macOS. À l'aide de Redline, vous pouvez analyser un point de terminaison potentiellement compromis via le vidage de la mémoire, y compris diverses structures de fichiers. Avec une jolie GUI (Graphical User Interface) – vous pouvez facilement trouver les signes d’activités malveillantes.
Voici ce que vous pouvez faire avec Redline :
- Collecter les données du registre (hôtes Windows uniquement)
- Collecter les processus en cours d'exécution
- Collecter des images mémoire (avant Windows 10)
- Collecter l'historique du navigateur
- Rechercher des chaînes suspectes
- Et beaucoup plus!
Remarque : la tâche 6 présente un problème et tryhackme travaille sur un correctif. Je publierai les réponses une fois le correctif validé.
Obtenez les notes de l'équipe bleue
Réponses
Vous lisez un document de recherche sur une nouvelle souche de ransomware. Vous souhaitez exécuter la collecte de données sur votre ordinateur en fonction des modèles fournis, tels que les domaines, les hachages, les adresses IP, les noms de fichiers, etc. Quelle méthode choisiriez-vous pour exécuter une collecte de données granulaire par rapport aux indicateurs connus ?
Quel script exécuteriez-vous pour lancer le processus de collecte de données ? Veuillez inclure l'extension du fichier.
Si vous souhaitez collecter les données sur les disques et les volumes, sous quelle option pouvez-vous les trouver ?
Quel cache Windows utilise-t-il pour conserver une préférence pour le code récemment exécuté ?
Indiquez le système d'exploitation détecté pour le poste de travail.
Recherchez le message que l'intrus vous a laissé dans la tâche.
Il existe un nouvel ID d'événement système créé par un intrus avec le nom source « THM-Redline-User » et le type « ERREUR ». Recherchez l'ID d'événement #.
Fournissez le message pour l’ID d’événement.
Il semble que l'intrus ait téléchargé un fichier contenant le drapeau de la question 8. Fournissez l'URL complète du site Web.
Fournissez le chemin complet de l'endroit où le fichier a été téléchargé, y compris le nom du fichier.
Fournissez le message que l'intrus vous a laissé dans le fichier.
Sous quel nom de fichier le fichier se fait-il passer ?
Qui est le propriétaire du fichier ?
Quelle est la taille du fichier en octets ?
Fournissez le chemin complet de l'emplacement où le fichier .ioc a été placé après l'analyse Redline, incluez également le nom du fichier .ioc
Pouvez-vous trouver le nom de la note laissée sur le bureau pour le « Charles » ?
Recherchez le service Windows Defender ; quel est le nom de sa DLL de service ?
L'utilisateur a téléchargé manuellement un fichier zip à partir du Web. Pouvez-vous trouver le nom du fichier ?
Fournissez le nom de fichier de l'exécutable malveillant qui a été déposé sur le bureau de l'utilisateur.
Fournissez le hachage MD5 pour l'exécutable malveillant supprimé.
Quel est le nom du ransomware ?
Vidéo pas à pas
P1
P2
Hé, as-tu terminé la tâche 6 ?
Je prévois d'y revenir bientôt.