Nous avons couvert la deuxième partie des didacticiels Wireshark dans laquelle nous avons passé en revue l'analyse du trafic à l'aide de filtres avancés. Nous avons analysé le trafic réseau avec différents protocoles tels que HTTP et DNS. Nous avons également couvert l'analyse des analyses NMAP, des attaques d'empoisonnement ARP et du tunneling SSH. De plus, nous avons expliqué comment extraire les informations d'identification en texte clair transmises via des protocoles non sécurisés tels que HTTP et FTP. Cela faisait partie de Analyse du trafic TryHackMe Wireshark SOC niveau 1.
Obtenir les notes d'étude sur l'analyse du trafic réseau
Le cours pratique complet sur le framework Metasploit
Faits saillants de la vidéo
Lorsqu'il enquête sur une activité de compromission ou d'infection par un logiciel malveillant, un analyste de sécurité doit savoir comment identifier les hôtes sur le réseau en dehors de l'IP pour MAC correspondance d'adresse. L'une des meilleures méthodes consiste à identifier les hôtes et les utilisateurs sur le réseau pour décider du point de départ de l'enquête et répertorier les hôtes et les utilisateurs associés au trafic/à l'activité malveillante.
Habituellement, les réseaux d'entreprise utilisent un modèle prédéfini pour nommer les utilisateurs et les hôtes. Même si cela facilite la connaissance et le suivi de l’inventaire, celui-ci présente des bons et des mauvais côtés. Le bon côté est qu’il sera facile d’identifier un utilisateur ou un hôte en regardant son nom. Le mauvais côté est qu’il sera facile de cloner ce modèle et de le faire vivre dans le réseau de l’entreprise au profit des adversaires. Il existe de multiples solutions pour éviter ce genre d’activités, mais pour un analyste en sécurité, il reste essentiel d’avoir des compétences en matière d’identification des hôtes et des utilisateurs.
Protocoles pouvant être utilisés pour l'identification de l'hôte et de l'utilisateur :
Tunneling du trafic : ICMP et DNS
Analyse ICMP
Internet Control Message Protocol (ICMP) est conçu pour diagnostiquer et signaler les problèmes de communication réseau. Il est très utilisé dans les rapports d’erreurs et les tests. Comme il s’agit d’un protocole de couche réseau fiable, il est parfois utilisé pour un déni de service (DoS) attaques ; de plus, les adversaires l’utilisent dans les activités d’exfiltration de données et de tunneling C2.
Analyse ICMP en un mot :
Habituellement, les attaques par tunnel ICMP sont des anomalies apparaissant/démarrant après l’exécution d’un malware ou l’exploitation d’une vulnérabilité. Comme les paquets ICMP peuvent transférer une charge utile de données supplémentaire, les adversaires utilisent cette section pour exfiltrer les données et établir un C2 connexion. Il peut s'agir de données TCP, HTTP ou SSH. Comme les protocoles ICMP offrent une excellente opportunité de transporter des données supplémentaires, ils présentent également des inconvénients. La plupart des réseaux d'entreprise bloquent les paquets personnalisés ou nécessitent des privilèges d'administrateur pour créer des paquets ICMP personnalisés.
Un volume important de trafic ICMP ou des tailles de paquets anormales sont des indicateurs de tunneling ICMP. Néanmoins, les adversaires pourraient créer des paquets personnalisés qui correspondent à la taille habituelle des paquets ICMP (64 octets), il est donc toujours difficile de détecter ces activités de tunneling. Cependant, un analyste de sécurité doit connaître le normal et l’anormal pour repérer l’éventuelle anomalie et la faire remonter pour une analyse plus approfondie.
DNS Analyse
Système de noms de domaines (DNS) est conçu pour traduire/convertir les adresses de domaine IP en adresses IP. Il est également connu sous le nom d’annuaire téléphonique d’Internet. Comme il s’agit de la partie essentielle des services Web, il est couramment utilisé et fiable, et donc souvent ignoré. Pour cette raison, les adversaires l’utilisent dans l’exfiltration de données et les activités C2.
Analyse du protocole Cleartext
Enquêter sur les traces de protocole en texte clair semble facile, mais lorsque vient le temps d’enquêter sur une grande trace réseau pour analyser les incidents et y répondre, la donne change. Une analyse appropriée ne se limite pas à suivre le flux et à lire les données en texte clair. Pour un analyste de sécurité, il est important de créer des statistiques et des résultats clés du processus d'enquête.
Réponses de la salle
Utilisez le fichier « Desktop/exercise-pcaps/nmap/Exercise.pcapng ».
Quel est le nombre total de scans « TCP Connect » ?
Quel type de numérisation est utilisé pour numériser le TCP port 80 ?
Combien y a-t-il de messages « UDP close port » ?
Lequel UDP le port dans la plage de ports 55-70 est ouvert ?
Utilisez le fichier « Desktop/exercise-pcaps/arp/Exercise.pcapng ».
Quel est le nombre de ARP requêtes élaborées par l'attaquant ?
Quel est le nombre de HTTP paquets reçus par l’attaquant ?
Quel est le nombre d’entrées de nom d’utilisateur et de mot de passe reniflées ?
Quel est le mot de passe du « Client986 » ?
Quel est le commentaire fourni par le « Client354 » ?
Utilisez le fichier « Desktop/exercise-pcaps/dhcp-netbios-kerberos/dhcp-netbios.pcap ».
Quel est le MAC adresse de l'hébergeur « Galaxy A30 » ?
Combien de demandes d’enregistrement NetBIOS le poste de travail « LIVALJM » possède-t-il ?
Utilisez le fichier « Desktop/exercise-pcaps/dhcp-netbios-kerberos/kerberos.pcap ».
Quelle est l’adresse IP de l’utilisateur « u5 » ? (Entrez l'adresse au format défangé.)
Examinez les paquets anormaux. Quel protocole est utilisé dans le tunneling ICMP ?
Utilisez le fichier « Desktop/exercise-pcaps/dns-icmp/dns.pcap ».
Examinez les paquets anormaux. Quelle est l'adresse de domaine principale suspecte qui reçoit des informations anormales DNS des requêtes ? (Entrez l'adresse au format défangé.)
Utilisez le fichier « Desktop/exercise-pcaps/ftp/ftp.pcap ».
Combien y a-t-il de tentatives de connexion incorrectes ?
Quelle est la taille du fichier accédé par le compte « ftp » ?
L'adversaire a téléchargé un document sur le FTP serveur. Quel est le nom du fichier ?
L'adversaire a tenté d'attribuer des indicateurs spéciaux pour modifier les autorisations d'exécution du fichier téléchargé. Quel est le commandement utilisé par l’adversaire ?
Enquêtez sur les agents utilisateurs. Quel est le nombre de types d’« agent utilisateur » anormaux ?
Quel est le numéro de paquet avec une subtile différence d’orthographe dans le champ de l’agent utilisateur ?
Utilisez le fichier « Desktop/exercise-pcaps/http/http.pcapng ».
Localisez la phase de démarrage de l’attaque « Log4j ». Quel est le numéro du paquet ?
Localisez la phase de démarrage de l’attaque « Log4j » et décodez la commande base64. Quelle est l’adresse IP contactée par l’adversaire ? (Entrez l'adresse au format défangé et excluez « {} ».)
Quel est le numéro de trame du message « Client Bonjour » envoyé à « accounts.google.com » ?
Décryptez le trafic avec le fichier « KeysLogFile.txt ». Quel est le nombre de paquets HTTP2 ?
Accédez à l'image 322. Quel est l'en-tête d'autorité du paquet HTTP2 ? (Entrez l'adresse au format défangé.)
Examinez les paquets déchiffrés et trouvez le drapeau ! Qu'est-ce que le drapeau ?
Quel est le numéro de paquet dans lequel le « mot de passe vide » a été soumis ?
Sélectionnez le numéro de paquet 231. Créez des règles « IPFirewall ». Quelle est la règle pour « autoriser la destination MAC adresse"?
Vidéo pas à pas
