Introducción

Cubrimos cómo analizar y realizar análisis forenses de red en archivos pcap con Brim. También demostramos cómo analizar capturas de paquetes con Brim para investigar la actividad de malware. Esta fue la segunda parte de PruebaHackMe MasterMinds.

Tres máquinas del departamento financiero de Pfeffer PLC fueron comprometidas. Sospechamos que la fuente inicial del compromiso se produjo a través de un intento de phishing y de una unidad USB infectada. El equipo de respuesta a incidentes logró extraer los registros de tráfico de red de los puntos finales. Utilice Brim para investigar el tráfico de la red en busca de indicadores de un ataque y determinar quién está detrás de los ataques.

Obtenga notas de informática forense

Preguntas y respuestas del desafío

Comience cargando la captura de paquetes Infection1 en Brim para investigar el evento de compromiso para la primera máquina. Todos los PCAP se pueden encontrar aquí: /home/ubuntu/Escritorio/PCAP

Proporcione la dirección IP de la víctima.

La víctima intentó realizar conexiones HTTP a dos dominios sospechosos con el estado "404 No encontrado". Proporcione los hosts/dominios solicitados.

La víctima hizo un éxito HTTP conexión a uno de los dominios y recibió el Response_body_len de 1309 (tamaño del contenido sin comprimir de los datos transferidos desde el servidor). Proporcione el dominio y la dirección IP de destino.

cuantos unicos DNS ¿Se realizaron solicitudes al dominio cab[.]myfkn[.]com (incluido el dominio en mayúscula)?

Proporcione el URI del dominio bhaktivrind[.]com al que la víctima accedió a través de HTTP.

Proporcione la dirección IP del servidor malicioso y el ejecutable que la víctima descargó del servidor.

Según la información recopilada en la segunda pregunta, proporcione el nombre del malware utilizando VirusTotal.

Navegue hasta la captura de paquetes de Infection2 en Brim para investigar el evento de compromiso para la segunda máquina.

Proporcione la dirección IP de la máquina víctima.

Proporcione la dirección IP a la que la víctima realizó las conexiones POST.

¿Cuántas conexiones POST se realizaron a la dirección IP en la pregunta anterior?

Proporcione el dominio desde donde se descargó el binario.

Proporcione el nombre del binario, incluido el URI completo.

Proporcione la dirección IP del dominio que aloja el binario.

Hubo 2 alertas de Suricata "Se detectó un troyano de red". ¿Cuáles fueron las direcciones IP de origen y destino?

Echando un vistazo al dominio .top en HTTP solicitudes, proporcione el nombre del ladrón (troyano que recopila información de un sistema) involucrado en esta captura de paquetes usando Base de datos URLhaus.

Cargue la captura de paquetes de Infection3 en Brim para investigar el evento de compromiso para la tercera máquina.

Proporcione la dirección IP de la máquina víctima.

Proporcione tres dominios C2 desde los cuales se descargaron los archivos binarios (desde el más antiguo hasta el más reciente en la marca de tiempo)
Proporcione las direcciones IP para los tres dominios de la pregunta anterior.

cuantos unicos DNS ¿Se realizaron consultas al dominio asociado desde la primera dirección IP de la respuesta anterior?

¿Cuántos archivos binarios se descargaron en total del dominio anterior?

Proporcionó el agente de usuario listado para descargar los archivos binarios.

Proporcionar la cantidad de DNS conexiones realizadas en total para esta captura de paquetes.

Con algunos conocimientos de OSINT, proporcione el nombre del gusano utilizando el primer dominio que haya logrado recopilar en la pregunta 2. (Utilice comillas para las búsquedas de Google, no utilice .ru en su búsqueda y NO interactúe con el dominio directamente).

Tutoriales en vídeo

, , , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos