Cubrimos ejemplos de análisis de incidentes de ciberseguridad como DNS anómalos, ataques de phishing y la vulnerabilidad Log4j utilizando Zeek IDS. Usamos Zeek IDS en modo de análisis de paquetes fuera de línea mientras aún se puede usar en modo de captura en vivo. Los ejemplos utilizados en el vídeo son parte de Ejercicios TryHackMe Zeek sala que forma parte del SOC Nivel 1 Track.
El curso completo y práctico de pruebas de penetración de aplicaciones web
Reflejos
Zeek es un analizador de tráfico de red pasivo y de código abierto. Muchos operadores utilizan Zeek como monitor de seguridad de red (NSM) para respaldar investigaciones de actividades sospechosas o maliciosas. Zeek también admite una amplia gama de tareas de análisis de tráfico más allá del ámbito de la seguridad, incluida la medición del rendimiento y la resolución de problemas.
Ejecute Zeek como un servicio para poder realizar capturas de paquetes de red en vivo o escuchar el tráfico de red en vivo.
Para ejecutar Zeek como servicio necesitaremos iniciar el módulo “ZeekControl” que requiere permisos de superusuario para su uso. Puede elevar los privilegios de sesión y cambiar a la cuenta de superusuario para examinar los archivos de registro generados con el siguiente comando: sudo su
Respuestas de la habitación
Investigar el dns-tunelización.pcap archivo. Investigar el dns.log archivo. ¿Cuál es la cantidad de registros DNS vinculados a la dirección IPv6?
320
Investigar el conn.log archivo. ¿Cuál es la duración más larga de la conexión?
9.420791
Hay una gran cantidad de consultas DNS enviadas al mismo dominio. Esto es anormal. Averigüemos qué anfitriones están involucrados en esta actividad. Investigar el conn.log archivo. ¿Cuál es la dirección IP del host de origen?
10.20.57.3
Investiga los registros. ¿Cuál es la dirección de la fuente sospechosa? Introduce tu respuesta en formato sin colmillos.
10[.]6[.]27[.]102
Investigar el http.log archivo. ¿De qué dirección de dominio se descargaron los archivos maliciosos? Ingrese su respuesta en formato desactivado.
fax inteligente[.]com
Investigue el documento malicioso en VirusTotal. ¿Qué tipo de archivo está asociado con el documento malicioso?
Vba
Investigar el malware extraído .exe archivo. ¿Cuál es el nombre del archivo dado en Virustotal?
PleaseWaitWindow.exe
Investigar los maliciosos .exe archivo en VirusTotal. ¿Cuál es el nombre de dominio contactado? Introduce tu respuesta en formato sin colmillos.
saltar a[.]org
Investigue el archivo http.log. ¿Cuál es el nombre de la solicitud del malware descargado? .exe ¿archivo?
knr.exe
Investigue el archivo log4shell.pcapng con el script de detección-log4j.zeek. Investigue el archivo Signature.log. ¿Cuál es el número de aciertos de firmas?
3
Investigar el http.log archivo. ¿Qué herramienta se utiliza para escanear?
nmapa
Investigar el http.log archivo. ¿Cuál es la extensión del archivo exploit?
.clase
Investigue el archivo log4j.log. Decodifica los comandos base64. ¿Cuál es el nombre del archivo creado?
empeñado
Tutorial en vídeo
