مقدمة

لقد تناولنا كيفية تحليل وإجراء التحليل الجنائي للشبكة على ملفات pcap باستخدام Brim. لقد أظهرنا أيضًا كيفية تحليل عمليات التقاط الحزم باستخدام Brim للتحقيق في نشاط البرامج الضارة. كان هذا الجزء الثاني من جربHackMe MasterMinds.

تعرضت ثلاث آلات في القسم المالي في شركة Pfeffer PLC للاختراق. نشتبه في أن المصدر الأولي للاختراق حدث من خلال محاولة تصيد احتيالي ومن خلال محرك أقراص USB مصاب. تمكن فريق الاستجابة للحوادث من سحب سجلات حركة مرور الشبكة من نقاط النهاية. استخدم Brim للتحقق من حركة مرور الشبكة بحثًا عن أي مؤشرات للهجوم وتحديد من يقف وراء الهجمات.

احصل على ملاحظات الطب الشرعي للكمبيوتر

أسئلة وأجوبة التحدي

ابدأ بتحميل التقاط حزمة Infection1 في Brim للتحقيق في حدث التسوية للجهاز الأول. يمكن العثور على جميع PCAPs هنا: /home/ubuntu/Desktop/PCAPs

قم بتوفير عنوان IP الخاص بالضحية.

حاول الضحية إجراء اتصالات HTTP لنطاقين مشبوهين بالحالة "404 Not Found". قم بتوفير المضيفين/المجالات المطلوبة.

حققت الضحية نجاحا HTTP الاتصال بأحد المجالات وتلقي استجابة_body_len بقيمة 1,309 (حجم المحتوى غير المضغوط للبيانات المنقولة من الخادم). قم بتوفير المجال وعنوان IP الوجهة.

كم فريدة من نوعها DNS تم تقديم طلبات إلى مجال cab[.]myfkn[.]com (بما في ذلك المجال الكبير)؟

قم بتوفير URI الخاص بالمجال bhaktivrind[.]com الذي تواصلت معه الضحية عبر HTTP.

قم بتوفير عنوان IP الخاص بالخادم الضار والملف القابل للتنفيذ الذي قام الضحية بتنزيله من الخادم.

بناءً على المعلومات التي تم جمعها من السؤال الثاني، قم بتقديم اسم البرنامج الضار الذي تستخدمه فيروس توتال.

من فضلك، انتقل إلى التقاط حزمة Infection2 في Brim للتحقيق في حدث التسوية للجهاز الثاني.

قم بتوفير عنوان IP الخاص بالجهاز الضحية.

قم بتوفير عنوان IP الذي أجرى الضحية اتصالات POST عليه.

كم عدد اتصالات POST التي تم إجراؤها بعنوان IP في السؤال السابق؟

قم بتوفير المجال الذي تم تنزيل الملف الثنائي منه.

قم بتوفير اسم الملف الثنائي بما في ذلك URI الكامل.

قم بتوفير عنوان IP الخاص بالمجال الذي يستضيف الملف الثنائي.

كان هناك تنبيهان من Suricata "تم اكتشاف حصان طروادة على الشبكة". ما هي عناوين IP المصدر والوجهة؟

إلقاء نظرة على النطاق .top في HTTP الطلبات، قم بتقديم اسم السارق (حصان طروادة الذي يجمع المعلومات من النظام) المتورط في التقاط هذه الحزمة باستخدام قاعدة بيانات URLhaus.

من فضلك، قم بتحميل ملف التقاط حزمة Infection3 في Brim للتحقيق في حدث الاختراق للجهاز الثالث.

قم بتوفير عنوان IP الخاص بالجهاز الضحية.

توفير ثلاثة مجالات C2 تم تنزيل الثنائيات منها (بدءًا من الأقدم إلى الأحدث في الطابع الزمني)
قم بتوفير عناوين IP لجميع المجالات الثلاثة في السؤال السابق.

كم فريدة من نوعها DNS تم إجراء استعلامات على المجال المرتبط بعنوان IP الأول من الإجابة السابقة؟

كم عدد الثنائيات التي تم تنزيلها من المجال أعلاه إجمالاً؟

تم توفير وكيل المستخدم المدرج لتنزيل الثنائيات.

توفير المبلغ DNS الاتصالات التي تم إجراؤها إجماليًا لالتقاط هذه الحزمة.

باستخدام بعض مهارات OSINT، قم بتقديم اسم الفيروس المتنقل باستخدام النطاق الأول الذي تمكنت من جمعه من السؤال 2. (يُرجى استخدام علامات الاقتباس في عمليات بحث Google، ولا تستخدم .ru في بحثك، ولا تتفاعل مع المجال مباشرة).

جولة (جولات) الفيديو

, , , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات