Abbiamo trattato la seconda parte dei tutorial di Wireshark in cui abbiamo esaminato l'analisi del traffico utilizzando filtri avanzati. Abbiamo analizzato il traffico di rete con diversi protocolli come HTTP e DNS. Abbiamo anche trattato l'analisi delle scansioni NMAP, degli attacchi di avvelenamento ARP e del tunneling SSH. Inoltre, abbiamo spiegato come estrarre le credenziali in chiaro trasmesse su protocolli non sicuri come HTTP e FTP. Questo faceva parte ProvaHackMe Analisi del traffico Wireshark Livello 1 del SOC.
Ottieni appunti sullo studio sull'analisi del traffico di rete
Il corso pratico completo sul framework Metasploit
Video in evidenza
Quando si indaga su un'attività di compromissione o infezione da malware, un analista della sicurezza dovrebbe sapere come identificare gli host sulla rete oltre all'IP per MAC corrispondenza dell'indirizzo. Uno dei metodi migliori è identificare gli host e gli utenti della rete per decidere il punto di partenza dell'indagine ed elencare gli host e gli utenti associati al traffico/attività dannosi.
Di solito, le reti aziendali utilizzano uno schema predefinito per denominare utenti e host. Sebbene ciò renda più semplice conoscere e seguire l'inventario, presenta lati positivi e negativi. Il lato positivo è che sarà facile identificare un utente o un host guardando il nome. Il lato negativo è che sarà facile clonare questo modello e vivere nella rete aziendale per gli avversari. Esistono molteplici soluzioni per evitare questo tipo di attività, ma per un analista della sicurezza è comunque essenziale possedere competenze di identificazione di host e utenti.
Protocolli che possono essere utilizzati nell'identificazione di Host e Utente:
- Protocollo di configurazione host dinamico (DHCP) traffico
- Traffico NetBIOS (NBNS).
- Kerberos traffico
Traffico di tunneling: ICMP e DNS
Analisi dell'ICMP
Internet Control Message Protocol (ICMP) è progettato per diagnosticare e segnalare problemi di comunicazione di rete. È molto utilizzato nella segnalazione e nei test degli errori. Poiché si tratta di un protocollo di livello di rete affidabile, a volte viene utilizzato per la negazione del servizio (DoS) attacchi; inoltre, gli avversari lo utilizzano nelle attività di esfiltrazione di dati e di tunneling C2.
Analisi ICMP in breve:
Solitamente, gli attacchi di tunneling ICMP sono anomalie che compaiono/iniziano dopo l'esecuzione di malware o lo sfruttamento di una vulnerabilità. Poiché i pacchetti ICMP possono trasferire un ulteriore carico utile di dati, gli avversari utilizzano questa sezione per esfiltrare dati e stabilire un C2 connessione. Potrebbe essere un dato TCP, HTTP o SSH. Poiché i protocolli ICMP offrono una grande opportunità per trasportare dati aggiuntivi, presentano anche degli svantaggi. La maggior parte delle reti aziendali blocca i pacchetti personalizzati o richiede privilegi di amministratore per creare pacchetti ICMP personalizzati.
Un grande volume di traffico ICMP o dimensioni anomale dei pacchetti sono indicatori di tunneling ICMP. Tuttavia, gli avversari potrebbero creare pacchetti personalizzati che corrispondono alla normale dimensione dei pacchetti ICMP (64 byte), quindi è ancora complicato rilevare queste attività di tunneling. Tuttavia, un analista della sicurezza dovrebbe conoscere il normale e l'anormale per individuare la possibile anomalia e inoltrarla per ulteriori analisi.
DNS Analisi
Domain Name System (DNS) è progettato per tradurre/convertire gli indirizzi di dominio IP in indirizzi IP. È anche conosciuta come rubrica di Internet. Poiché costituisce la parte essenziale dei servizi Web, è comunemente utilizzato e affidabile e quindi spesso ignorato. Per questo motivo, gli avversari lo utilizzano nell’esfiltrazione dei dati e nelle attività C2.
Analisi del protocollo di testo in chiaro
Analizzare le tracce del protocollo in chiaro sembra facile, ma quando arriva il momento di analizzare una grande traccia di rete per l'analisi e la risposta agli incidenti, il gioco cambia. Un'analisi corretta è molto più che seguire il flusso e leggere i dati in chiaro. Per un analista della sicurezza, è importante creare statistiche e risultati chiave dal processo di indagine
Risposte in camera
Utilizza il file "Desktop/exercise-pcaps/nmap/Exercise.pcapng".
Qual è il numero totale delle scansioni "TCP Connect"?
Quale tipo di scansione viene utilizzato per scansionare il file TCP porta 80?
Quanti messaggi "UDP chiudi porta" ci sono?
Quale UDP la porta nell'intervallo di porte 55-70 è aperta?
Utilizza il file "Desktop/exercise-pcaps/arp/Exercise.pcapng".
Qual è il numero di ARP richieste elaborate dall'attaccante?
Qual è il numero di HTTP pacchetti ricevuti dall'attaccante?
Qual è il numero di voci nome utente e password sniffate?
Qual è la password del “Client986”?
Qual è il commento fornito dal “Client354”?
Utilizzare il file "Desktop/exercise-pcaps/dhcp-netbios-kerberos/dhcp-netbios.pcap".
Quale è MAC indirizzo dell'host "Galaxy A30"?
Quante richieste di registrazione NetBIOS ha la workstation “LIVALJM”?
Utilizzare il file "Desktop/exercise-pcaps/dhcp-netbios-kerberos/kerberos.pcap”.
Qual è l'indirizzo IP dell'utente “u5”? (Inserisci l'indirizzo in formato defangato.)
Indagare sui pacchetti anomali. Quale protocollo viene utilizzato nel tunneling ICMP?
Utilizza il file "Desktop/exercise-pcaps/dns-icmp/dns.pcap".
Indagare sui pacchetti anomali. Qual è l'indirizzo del dominio principale sospetto che riceve un messaggio anomalo DNS interrogazioni? (Inserisci l'indirizzo in formato defangato.)
Utilizzare il file "Desktop/exercise-pcaps/ftp/ftp.pcap".
Quanti tentativi di accesso errati ci sono?
Qual è la dimensione del file a cui accede l'account "ftp"?
L'avversario ha caricato un documento sul file FTP server. Qual è il nome del file?
L'aggressore ha tentato di assegnare flag speciali per modificare i permessi di esecuzione del file caricato. Qual è il comando utilizzato dall'avversario?
Esaminare gli agenti utente. Qual è il numero di tipi di "user-agent" anomali?
Qual è il numero del pacchetto con una sottile differenza di ortografia nel campo dell'agente utente?
Utilizza il file "Desktop/exercise-pcaps/http/http.pcapng".
Individua la fase iniziale dell’attacco “Log4j”. Qual è il numero del pacchetto?
Individua la fase iniziale dell'attacco "Log4j" e decodifica il comando base64. Qual è l'indirizzo IP contattato dall'avversario? (Inserisci l'indirizzo nel formato predefinito ed escludi "{}".)
Qual è il numero di frame del messaggio "Client Hello" inviato a "accounts.google.com"?
Decrittografa il traffico con il file "KeysLogFile.txt". Qual è il numero di pacchetti HTTP2?
Vai al frame 322. Qual è l'intestazione di autorità del pacchetto HTTP2? (Inserisci l'indirizzo in formato defangato.)
Esamina i pacchetti decrittografati e trova la bandiera! Cos'è la bandiera?
Qual è il numero del pacchetto in cui è stata inviata la "password vuota"?
Selezionare il pacchetto numero 231. Creare regole “IPFirewall”. Qual è la regola per “consentire la destinazione MAC indirizzo"?
Videoprocedura dettagliata