Blue Team | Malware und Spam mit Wireshark untersuchen

TryHackMe Carnage

Wir haben die Analyse eines Vorfalls mit Wireshark behandelt. Wireshark-Filter haben wir verwendet, um Malware und ihre Aktivitäten zu untersuchen und aufzudecken.

Abonnieren Sie meine YouTube-Kanal-Mitgliedschaft, um zu erhalten Hinweise zur Cybersicherheit. Es enthält auch Hinweise zu Wireshark.

Eric Fischer aus der Einkaufsabteilung von Bartell Ltd hat eine E-Mail von einem bekannten Kontakt mit einem Word-Dokument im Anhang erhalten. Beim Öffnen des Dokuments klickte er versehentlich auf „Inhalt aktivieren“. Die SOC-Abteilung erhielt sofort eine Warnung vom Endpunktagenten, dass Erics Workstation verdächtige ausgehende Verbindungen herstellte. Das PCAP wurde vom Netzwerksensor abgerufen und Ihnen zur Analyse übergeben.

Holen Sie sich Blue Team Notes

Aufgabe: Untersuchen Sie die Paketerfassung und decken Sie die böswilligen Aktivitäten auf.

*Kredit geht an Brad Duncan zum Erfassen des Datenverkehrs und Teilen der PCAP-Paketerfassung mit der InfoSec-Community. 

Antworten auf die Herausforderungen

Wann war das Datum und die Uhrzeit für das erste HTTP Verbindung zur bösartigen IP?

(Antwortformat: jjjj-mm-tt hh:mm:ss)

Wie lautet der Name der heruntergeladenen ZIP-Datei?

Welche Domäne hat die schädliche ZIP-Datei gehostet?

Wie lautet der Name der Datei in der ZIP-Datei, ohne die Datei herunterzuladen?

Wie lautet der Name des Webservers der bösartigen IP, von der die ZIP-Datei heruntergeladen wurde?

Welche Version hat der Webserver aus der vorherigen Frage?

Von mehreren Domänen wurden bösartige Dateien auf den Host des Opfers heruntergeladen. Was waren die drei An dieser Aktivität beteiligte Domänen?

Welche Zertifizierungsstelle hat das SSL-Zertifikat für die erste Domäne aus der vorherigen Frage ausgestellt?

Wie lauten die beiden IP-Adressen der Cobalt Strike-Server? Verwenden Sie VirusTotal (Registerkarte „Community“), um zu bestätigen, ob die IPs als Cobalt Strike C2-Server identifiziert werden. (Antwortformat: Geben Sie die IP-Adressen in sequenzieller Reihenfolge ein.)
Was ist der Host-Header für die erste Cobalt Strike-IP-Adresse aus der vorherigen Frage?
Wie lautet der Domänenname für die erste IP-Adresse des Cobalt Strike-Servers? Sie können VirusTotal verwenden, um zu bestätigen, ob es sich um den Cobalt Strike-Server handelt (überprüfen Sie die Registerkarte „Community“).
Wie lautet der Domänenname der zweiten Cobalt Strike-Server-IP? Sie können VirusTotal verwenden, um zu bestätigen, ob es sich um den Cobalt Strike-Server handelt (überprüfen Sie die Registerkarte „Community“).

Wie lautet der Domänenname des Datenverkehrs nach der Infektion?

Welches sind die ersten elf Zeichen, die der Opfer-Host an die bösartige Domäne sendet, die am Datenverkehr nach der Infektion beteiligt ist?

Wie lang war das erste an den C2-Server gesendete Paket?

Was war der Server-Header für die bösartige Domäne aus der vorherigen Frage?

Die Malware nutzte eine API, um die IP-Adresse des Computers des Opfers zu ermitteln. Wann war das Datum und die Uhrzeit, als der DNS Abfrage für die IP-Check-Domäne erfolgt? (Antwortformat: jjjj-mm-tt hh:mm:ss UTC)

Was war die Domäne in der DNS Abfrage aus der vorherigen Frage?

Es sieht so aus, als ob bösartige Spam-Aktivitäten (Malspam) stattgefunden haben. Welche MAIL FROM-Adresse wurde als Erstes im Datenverkehr beobachtet?

Wie viele Pakete wurden beobachtet für die SMTP Verkehr?

Video-Anleitung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen