Wir haben Beispiele für die Analyse von Cybersicherheitsvorfällen wie anomalem DNS, Phishing-Angriffen und der Log4j-Schwachstelle mit Zeek IDS behandelt. Wir haben Zeek IDS im Offline-Paketanalysemodus verwendet, während es weiterhin im Live-Erfassungsmodus verwendet werden kann. Die im Video verwendeten Beispiele sind Teil von TryHackMe Zeek-Übungen Raum, der Teil des SOC Level 1 Tracks ist.
Praktische Hinweise zur Burp Suite
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Höhepunkte
Zeek ist ein passiver, Open-Source-Netzwerkverkehrsanalysator. Viele Betreiber verwenden Zeek als Netzwerksicherheitsmonitor (NSM), um Untersuchungen verdächtiger oder böswilliger Aktivitäten zu unterstützen. Zeek unterstützt auch eine breite Palette von Verkehrsanalyseaufgaben außerhalb des Sicherheitsbereichs, einschließlich Leistungsmessung und Fehlerbehebung.
Führen Sie Zeek als Dienst aus, um eine Live-Netzwerkpaketerfassung durchzuführen oder den Live-Netzwerkverkehr abzuhören.
Um Zeek als Dienst auszuführen, müssen wir das Modul „ZeekControl“ starten, für dessen Verwendung Superuser-Berechtigungen erforderlich sind. Mit dem folgenden Befehl können Sie die Sitzungsberechtigungen erhöhen und zum Superuser-Konto wechseln, um die generierten Protokolldateien zu untersuchen: sudo su
Raumantworten
Untersuchen Sie die dns-tunneling.pcap Datei. Untersuchen Sie die dns.log Datei. Wie viele DNS-Einträge sind mit der IPv6-Adresse verknüpft?
320
Untersuchen Sie die conn.log Datei. Was ist die längste Verbindungsdauer?
9.420791
Es werden sehr viele DNS-Anfragen an dieselbe Domain gesendet. Das ist ungewöhnlich. Lassen Sie uns herausfinden, welche Gastgeber an dieser Aktivität beteiligt sind. Untersuchen Sie die conn.log Datei. Wie lautet die IP-Adresse des Quellhosts?
10.20.57.3
Untersuchen Sie die Protokolle. Was ist die verdächtige Quelladresse? Geben Sie Ihre Antwort ein in defangiertes Format.
10[.]6[.]27[.]102
Untersuchen Sie die http.log Datei. Von welcher Domain-Adresse wurden die schädlichen Dateien heruntergeladen? Geben Sie Ihre Antwort im defangisierten Format ein.
smart-fax[.]com
Untersuchen Sie das schädliche Dokument in VirusTotal. Welche Art von Datei ist mit dem schädlichen Dokument verknüpft?
VBA
Untersuchen Sie den extrahierten Schadcode .exe Datei. Wie lautet der angegebene Dateiname in Virustotal?
BitteWartenWindow.exe
Untersuchen Sie die Böswilligen .exe Datei in VirusTotal. Wie lautet der Name der kontaktierten Domäne? Geben Sie Ihre Antwort in defangiertes Format.
hopto[.]org
Untersuchen Sie die http.log-Datei. Wie lautet der Anfragename der heruntergeladenen Schadsoftware? .exe Datei?
knr.exe
Untersuchen Sie die Datei log4shell.pcapng mit dem Skript „Detection-log4j.zeek“. Untersuchen Sie die Datei „signatur.log“. Wie hoch ist die Anzahl der Signaturtreffer?
3
Untersuchen Sie die http.log Datei. Welches Tool wird zum Scannen verwendet?
nmap
Untersuchen Sie die http.log Datei. Welche Erweiterung hat die Exploit-Datei?
.Klasse
Untersuchen Sie die Datei log4j.log. Dekodieren Sie die Base64-Befehle. Wie lautet der Name der erstellten Datei?
pwned
Video-Komplettlösung
