Синяя команда | Расследование вредоносного ПО и спама с помощью Wireshark

TryHackMe Карнаж

Мы рассмотрели анализ инцидента с Wireshark. Мы использовали фильтры Wireshark для исследования и выявления вредоносного ПО и его активности.

Подпишитесь на мой канал YouTube, чтобы получать заметки по кибербезопасности. Он также включает заметки о Wireshark.

Эрик Фишер из отдела закупок Bartell Ltd получил электронное письмо от известного контакта с вложенным документом Word. Открыв документ, он случайно нажал «Включить контент». Отдел SOC немедленно получил предупреждение от агента конечной точки о том, что рабочая станция Эрика устанавливает подозрительные исходящие соединения. PCAP был извлечен из сетевого датчика и передан вам на анализ.

Получите заметки синей команды

Задача: расследовать перехват пакетов и выявить вредоносные действия.

*Кредит достаётся Брэд Дункан для захвата трафика и обмена полученными пакетами pcap с сообществом InfoSec. 

Ответы на вызов

В какой день и время был первый HTTP подключение к вредоносному IP?

(формат ответа: гггг-мм-дд чч:мм:сс)

Как называется загруженный zip-файл?

На каком домене размещался вредоносный zip-файл?

Не скачивая файл, как называется файл в zip-архиве?

Как называется веб-сервер вредоносного IP-адреса, с которого был загружен zip-файл?

Какая версия веб-сервера из предыдущего вопроса?

Вредоносные файлы были загружены на хост-жертву с нескольких доменов. Что это были за три домены, участвующие в этой деятельности?

Какой центр сертификации выдал сертификат SSL первому домену из предыдущего вопроса?

Каковы два IP-адреса серверов Cobalt Strike? Используйте VirusTotal (вкладка «Сообщество»), чтобы подтвердить, идентифицируются ли IP-адреса как серверы Cobalt Strike C2. (формат ответа: введите IP-адреса последовательно)
Каков заголовок хоста для первого IP-адреса Cobalt Strike из предыдущего вопроса?
Какое доменное имя у первого IP-адреса сервера Cobalt Strike? Вы можете использовать VirusTotal, чтобы убедиться, что это сервер Cobalt Strike (проверьте вкладку «Сообщество»).
Какое доменное имя у IP второго сервера Cobalt Strike? Вы можете использовать VirusTotal, чтобы убедиться, что это сервер Cobalt Strike (проверьте вкладку «Сообщество»).

Каково доменное имя постинфекционного трафика?

Какие первые одиннадцать символов отправляет хост-жертва вредоносному домену, участвующему в трафике после заражения?

Какова была длина первого пакета, отправленного на сервер C2?

Каким был заголовок сервера для вредоносного домена из предыдущего вопроса?

Вредоносная программа использовала API для проверки IP-адреса компьютера жертвы. В какой день и время произошло DNS произошел запрос домена проверки IP? (формат ответа: гггг-мм-дд чч:мм:сс UTC)

Какой был домен в DNS вопрос из предыдущего вопроса?

Похоже, произошла какая-то вредоносная спам-активность. Какой адрес MAIL FROM был замечен в трафике первым?

Сколько пакетов было обнаружено для SMTP трафик?

Видео-прохождение

об авторе

Я создаю заметки по кибербезопасности, заметки по цифровому маркетингу и онлайн-курсы. Я также предоставляю консультации по цифровому маркетингу, включая, помимо прочего, SEO, Google и мета-рекламу, а также администрирование CRM.

Посмотреть статьи