Equipo Azul | Investigación de malware y spam con Wireshark
PruebaHackMe Carnage
Cubrimos un análisis de un incidente con Wireshark. Utilizamos filtros Wireshark para investigar y revelar malware y su actividad.
Suscríbete a la membresía de mi canal de YouTube para recibir notas de ciberseguridad. También incluye notas sobre Wirehark.
Eric Fischer del Departamento de Compras de Bartell Ltd recibió un correo electrónico de un contacto conocido con un documento adjunto de Word. Al abrir el documento, accidentalmente hizo clic en "Habilitar contenido". El Departamento SOC recibió inmediatamente una alerta del agente de punto final de que la estación de trabajo de Eric estaba realizando conexiones salientes sospechosas. El pcap se recuperó del sensor de red y se lo entregó a usted para su análisis.
Tarea: Investigue la captura de paquetes y descubra las actividades maliciosas.
*El crédito va a Brad Duncan para capturar el tráfico y compartir la captura de paquetes pcap con la comunidad InfoSec.
Respuestas al desafío
¿Cuál fue la fecha y hora de la primera HTTP ¿Conexión a la IP maliciosa?
(formato de respuesta: aaaa-mm-dd hh:mm:ss)
¿Cuál es el nombre del archivo zip que se descargó?
Sin descargar el archivo, ¿cuál es el nombre del archivo en el archivo zip?
¿Cuál es el nombre del servidor web de la IP maliciosa desde donde se descargó el archivo zip?
¿Cuál es la versión del servidor web de la pregunta anterior?
Se descargaron archivos maliciosos al host de la víctima desde múltiples dominios. ¿Cuales fueron los tres? dominios involucrados con esta actividad?
¿Qué autoridad certificadora emitió el certificado SSL para el primer dominio de la pregunta anterior?
¿Cuál es el nombre de dominio del tráfico posterior a la infección?
¿Cuáles son los primeros once caracteres que el host de la víctima envía al dominio malicioso involucrado en el tráfico posterior a la infección?
¿Cuál era el encabezado del servidor para el dominio malicioso de la pregunta anterior?
El malware utilizó una API para comprobar la dirección IP de la máquina de la víctima. ¿Cuál fue la fecha y hora en que DNS ¿Se produjo una consulta para el dominio de verificación de IP? (formato de respuesta: aaaa-mm-dd hh:mm:ss UTC)
¿Cuál era el dominio en el DNS consulta de la pregunta anterior?
¿Cuántos paquetes se observaron para el SMTP ¿tráfico?