Introducción
En este video tutorial, explicamos RedLine de Fireeye para realizar respuesta a incidentes, análisis de memoria y análisis forense informático. Este fue el video de la parte 1 del sala de línea roja de tryhackme.
Obtenga notas de estudio sobre seguridad cibernética de Blue Team
El curso práctico completo del marco Metasploit
Muchas herramientas pueden ayudar a un analista de seguridad o a un respondedor de incidentes a realizar análisis de memoria en un terminal potencialmente comprometido. Una de las herramientas más populares es Volatilidad, lo que permitirá a un analista profundizar en la maleza al examinar los artefactos de la memoria desde un punto final. Pero este proceso puede llevar tiempo. A menudo, cuando un analista realiza una evaluación, el tiempo es esencial y el analista necesita realizar una evaluación rápida para determinar la naturaleza de un evento de seguridad.
Ahí es donde la herramienta FireEye Línea roja entra. Redline esencialmente le dará a un analista una vista de 30,000 pies (vista de 10 kilómetros de altura) de un Windows, linuxo punto final de macOS. Con Redline, puede analizar un punto final potencialmente comprometido a través del volcado de memoria, incluidas varias estructuras de archivos. Con una GUI (interfaz gráfica de usuario) atractiva, puede encontrar fácilmente signos de actividades maliciosas.
Esto es lo que puedes hacer usando Redline:
- Recopile datos de registro (solo hosts de Windows)
- Recopilar procesos en ejecución
- Recopilar imágenes de memoria (antes de Windows 10)
- Recopilar el historial del navegador
- Busque cadenas sospechosas
- ¡Y mucho más!
Nota: La tarea 6 tiene un problema técnico y tryhackme está trabajando para solucionarlo. Publicaré las respuestas una vez que se valide la solución.
Respuestas
Estás leyendo un artículo de investigación sobre una nueva cepa de ransomware. Quiere ejecutar la recopilación de datos en su computadora en función de los patrones proporcionados, como dominios, hashes, direcciones IP, nombres de archivos, etc. ¿Qué método elegiría para ejecutar una recopilación de datos granular según los indicadores conocidos?
¿Qué script ejecutaría para iniciar el proceso de recopilación de datos? Por favor incluya la extensión del archivo.
Si desea recopilar datos en discos y volúmenes, ¿en qué opción puede encontrarlos?
¿Qué caché utiliza Windows para mantener una preferencia por el código ejecutado recientemente?
Proporcionar el sistema operativo detectado para la estación de trabajo.
Encuentra el mensaje que te dejó el intruso en la tarea.
Hay un nuevo ID de evento del sistema creado por un intruso con el nombre de origen "THM-Redline-User" y el tipo "ERROR". Busque el ID de evento #.
Proporcione el mensaje para el ID del evento.
Parece que el intruso descargó un archivo que contiene la bandera de la pregunta 8. Proporcione la URL completa del sitio web.
Proporcione la ruta completa donde se descargó el archivo, incluido el nombre del archivo.
Proporcione el mensaje que el intruso le dejó en el archivo.
¿Con qué nombre de archivo se hace pasar el archivo?
¿Quién es el propietario del archivo?
¿Cuál es el tamaño del archivo en bytes?
Proporcione la ruta completa donde se colocó el archivo .ioc después del análisis Redline, incluya también el nombre del archivo .ioc
¿Puedes encontrar el nombre de la nota dejada en el escritorio para “Charles”?
Busque el servicio Windows Defender; ¿Cuál es el nombre de su DLL de servicio?
El usuario descargó manualmente un archivo zip de la web. ¿Puedes encontrar el nombre del archivo?
Proporcione el nombre de archivo del ejecutable malicioso que se soltó en el escritorio del usuario.
Proporcione el hash MD5 para el ejecutable malicioso eliminado.
¿Cómo se llama el ransomware?
Tutorial en vídeo
P1
P2
Oye, ¿completaste la tarea 6?
Estoy planeando repasarlo pronto.