Blue Team | Malware und Spam mit Wireshark untersuchen
TryHackMe Carnage
Wir haben die Analyse eines Vorfalls mit Wireshark behandelt. Wireshark-Filter haben wir verwendet, um Malware und ihre Aktivitäten zu untersuchen und aufzudecken.
Abonnieren Sie meine YouTube-Kanal-Mitgliedschaft, um zu erhalten Hinweise zur Cybersicherheit. Es enthält auch Hinweise zu Wireshark.
Eric Fischer aus der Einkaufsabteilung von Bartell Ltd hat eine E-Mail von einem bekannten Kontakt mit einem Word-Dokument im Anhang erhalten. Beim Öffnen des Dokuments klickte er versehentlich auf „Inhalt aktivieren“. Die SOC-Abteilung erhielt sofort eine Warnung vom Endpunktagenten, dass Erics Workstation verdächtige ausgehende Verbindungen herstellte. Das PCAP wurde vom Netzwerksensor abgerufen und Ihnen zur Analyse übergeben.
Holen Sie sich Blue Team Notes
Aufgabe: Untersuchen Sie die Paketerfassung und decken Sie die böswilligen Aktivitäten auf.
*Kredit geht an Brad Duncan zum Erfassen des Datenverkehrs und Teilen der PCAP-Paketerfassung mit der InfoSec-Community.
Antworten auf die Herausforderungen
Wann war das Datum und die Uhrzeit für das erste HTTP Verbindung zur bösartigen IP?
(Antwortformat: jjjj-mm-tt hh:mm:ss)
Wie lautet der Name der heruntergeladenen ZIP-Datei?
Wie lautet der Name der Datei in der ZIP-Datei, ohne die Datei herunterzuladen?
Wie lautet der Name des Webservers der bösartigen IP, von der die ZIP-Datei heruntergeladen wurde?
Welche Version hat der Webserver aus der vorherigen Frage?
Von mehreren Domänen wurden bösartige Dateien auf den Host des Opfers heruntergeladen. Was waren die drei An dieser Aktivität beteiligte Domänen?
Welche Zertifizierungsstelle hat das SSL-Zertifikat für die erste Domäne aus der vorherigen Frage ausgestellt?
Wie lautet der Domänenname des Datenverkehrs nach der Infektion?
Welches sind die ersten elf Zeichen, die der Opfer-Host an die bösartige Domäne sendet, die am Datenverkehr nach der Infektion beteiligt ist?
Was war der Server-Header für die bösartige Domäne aus der vorherigen Frage?
Die Malware nutzte eine API, um die IP-Adresse des Computers des Opfers zu ermitteln. Wann war das Datum und die Uhrzeit, als der DNS Abfrage für die IP-Check-Domäne erfolgt? (Antwortformat: jjjj-mm-tt hh:mm:ss UTC)
Was war die Domäne in der DNS Abfrage aus der vorherigen Frage?
Wie viele Pakete wurden beobachtet für die SMTP Verkehr?