Einführung
Wir haben gezeigt, wie man mit Brim PCAP-Dateien analysiert und Netzwerkforensik betreibt. Wir haben auch gezeigt, wie man Paketerfassungen mit Brim analysiert, um Malware-Aktivitäten zu untersuchen. Dies war Teil zwei von TryHackMe MasterMinds.
Drei Rechner in der Finanzabteilung von Pfeffer PLC wurden kompromittiert. Wir vermuten, dass die ursprüngliche Quelle der Kompromittierung ein Phishing-Versuch und ein infiziertes USB-Laufwerk war. Dem Incident Response-Team gelang es, die Netzwerkverkehrsprotokolle von den Endpunkten abzurufen. Verwenden Sie Brim, um den Netzwerkverkehr auf Anzeichen eines Angriffs zu untersuchen und herauszufinden, wer hinter den Angriffen steckt.
Notizen zur Computerforensik abrufen
Fragen und Antworten zur Herausforderung
Beginnen Sie mit dem Laden der Infection1-Paketerfassung in Brim, um das Kompromittierungsereignis für die erste Maschine zu untersuchen. Alle PCAPs finden Sie hier: /home/ubuntu/Desktop/PCAPs
Geben Sie die IP-Adresse des Opfers an.
Das Opfer machte einen erfolgreichen HTTP Verbindung zu einer der Domänen hergestellt und die response_body_len von 1.309 erhalten (unkomprimierte Inhaltsgröße der vom Server übertragenen Daten). Geben Sie die Domäne und die Ziel-IP-Adresse an.
Wie viele einzigartige DNS wurden Anfragen an die Domäne cab[.]myfkn[.]com gestellt (einschließlich der Domäne mit Großbuchstaben)?
Geben Sie die URI der Domäne bhaktivrind[.]com an, die das Opfer über HTTP erreicht hat.
Geben Sie die IP-Adresse des Schadservers und die ausführbare Datei an, die das Opfer vom Server heruntergeladen hat.
Navigieren Sie zur Infection2-Paketerfassung in Brim, um das Kompromittierungsereignis für die zweite Maschine zu untersuchen.
Geben Sie die IP-Adresse des Opfercomputers an.
Wie viele POST-Verbindungen wurden zur IP-Adresse in der vorherigen Frage hergestellt?
Geben Sie die Domäne an, von der die Binärdatei heruntergeladen wurde.
Geben Sie den Namen der Binärdatei einschließlich der vollständigen URI an.
Geben Sie die IP-Adresse der Domäne an, die die Binärdatei hostet.
Es gab 2 Suricata-Warnmeldungen vom Typ „Ein Netzwerktrojaner wurde erkannt“. Was waren die Quell- und Ziel-IP-Adressen?
Ein Blick auf die .top-Domain in HTTP Anfragen, geben Sie den Namen des Stealers (Trojaner, der Informationen von einem System sammelt) an, der an dieser Paketerfassung beteiligt ist, und zwar mit URLhaus-Datenbank.
Geben Sie die IP-Adresse des Opfercomputers an.
Wie viele einzigartige DNS wurden Abfragen an die Domäne gestellt, die mit der ersten IP-Adresse aus der vorherigen Antwort verknüpft ist?
Wie viele Binärdateien wurden insgesamt von der oben genannten Domäne heruntergeladen?
Der zum Herunterladen der Binärdateien aufgeführte Benutzeragent wurde bereitgestellt.
Geben Sie den Betrag an DNS Verbindungen, die insgesamt für diese Paketerfassung hergestellt wurden.
Geben Sie mithilfe einiger OSINT-Kenntnisse den Namen des Wurms unter Verwendung der ersten Domäne an, die Sie aus Frage 2 ermitteln konnten. (Bitte verwenden Sie Anführungszeichen für Google-Suchen, verwenden Sie bei Ihrer Suche nicht .ru und interagieren Sie NICHT direkt mit der Domäne.)
