Einführung
In diesem Video-Walkthrough haben wir RedLine von Fireeye erklärt, um Incident Response, Speicheranalyse und Computerforensik durchzuführen. Dies war Teil 1 des Videos des Redline-Raum von tryhackme.
Holen Sie sich die Studiennotizen zum Thema Cybersicherheit von Blue Team
Der komplette praktische Metasploit-Framework-Kurs
Viele Tools können einem Sicherheitsanalysten oder Incident Responder bei der Durchführung einer Speicheranalyse auf einem potenziell gefährdeten Endpunkt helfen. Eines der beliebtesten Tools ist Volatilität, wodurch ein Analyst bei der Untersuchung von Speicherartefakten von einem Endpunkt aus tief in die Tiefe vordringen kann. Dieser Prozess kann jedoch einige Zeit in Anspruch nehmen. Bei der Triage ist Zeit oft von entscheidender Bedeutung und der Analyst muss eine schnelle Bewertung durchführen, um die Art eines Sicherheitsereignisses zu bestimmen.
Hier kommt das FireEye-Tool ins Spiel. Rote Linie kommt ins Spiel. Redline wird einem Analysten im Wesentlichen eine 30.000-Fuß-Ansicht (10 Kilometer hohe Ansicht) eines Windows geben, Linuxoder macOS-Endpunkt. Mit Redline können Sie einen potenziell kompromittierten Endpunkt durch den Speicherauszug analysieren, einschließlich verschiedener Dateistrukturen. Mit einer gut aussehenden GUI (Graphical User Interface) können Sie die Anzeichen bösartiger Aktivitäten leicht erkennen.
Folgendes können Sie mit Redline tun:
- Sammeln von Registrierungsdaten (nur Windows-Hosts)
- Laufende Prozesse erfassen
- Speicherabbilder sammeln (vor Windows 10)
- Browserverlauf erfassen
- Suchen Sie nach verdächtigen Zeichenfolgen
- Und vieles mehr!
Hinweis: Aufgabe 6 hat einen Fehler und tryhackme arbeitet an einer Lösung dafür. Ich werde die Antworten veröffentlichen, sobald die Lösung bestätigt ist.
Holen Sie sich Blue Team Notes
Antworten
Sie lesen eine Forschungsarbeit über eine neue Art von Ransomware. Sie möchten die Datenerfassung auf Ihrem Computer anhand der bereitgestellten Muster wie Domänen, Hashes, IP-Adressen, Dateinamen usw. ausführen. Welche Methode würden Sie wählen, um eine detaillierte Datenerfassung anhand der bekannten Indikatoren durchzuführen?
Welches Skript würden Sie ausführen, um den Datenerfassungsprozess zu starten? Bitte geben Sie die Dateierweiterung an.
Wenn Sie die Daten auf Datenträgern und Datenträgern erfassen möchten, unter welcher Option finden Sie sie?
Welchen Cache verwendet Windows, um eine Präferenz für kürzlich ausgeführten Code beizubehalten?
Geben Sie das für die Arbeitsstation erkannte Betriebssystem an.
Suchen Sie in der Aufgabe nach der Nachricht, die der Eindringling für Sie hinterlassen hat.
Es gibt eine neue Systemereignis-ID, die von einem Eindringling mit dem Quellnamen „THM-Redline-User“ und dem Typ „ERROR“ erstellt wurde. Suchen Sie die Ereignis-ID #.
Geben Sie die Nachricht für die Ereignis-ID ein.
Es sieht so aus, als hätte der Eindringling eine Datei heruntergeladen, die die Flagge für Frage 8 enthält. Geben Sie die vollständige URL der Website an.
Geben Sie den vollständigen Pfad zum Downloadort der Datei an, einschließlich des Dateinamens.
Geben Sie die Nachricht an, die der Eindringling in der Datei für Sie hinterlassen hat.
Als welcher Dateiname wird die Datei getarnt?
Wer ist der Eigentümer der Datei?
Wie groß ist die Datei in Bytes?
Geben Sie den vollständigen Pfad an, unter dem die IOC-Datei nach der Redline-Analyse abgelegt wurde. Geben Sie auch den IOC-Dateinamen an.
Können Sie den Namen der Notiz finden, die auf dem Desktop für „Charles“ hinterlassen wurde?
Suchen Sie den Windows Defender-Dienst. Wie lautet der Name seiner Dienst-DLL?
Der Benutzer hat manuell eine ZIP-Datei aus dem Internet heruntergeladen. Können Sie den Dateinamen finden?
Geben Sie den Dateinamen der schädlichen ausführbaren Datei an, die auf dem Desktop des Benutzers abgelegt wurde.
Geben Sie den MD5-Hash für die abgelegte schädliche ausführbare Datei an.
Wie heißt die Ransomware?
Video-Komplettlösung
P1
Platz 2
Hey, hast du Aufgabe 6 erledigt?
Ich habe vor, es bald durchzugehen.