Introducción
Cubrimos cómo analizar y realizar análisis forenses de red en archivos pcap con Brim. También demostramos cómo analizar capturas de paquetes con Brim para investigar la actividad de malware. Esta fue la segunda parte de PruebaHackMe MasterMinds.
Tres máquinas del departamento financiero de Pfeffer PLC fueron comprometidas. Sospechamos que la fuente inicial del compromiso se produjo a través de un intento de phishing y de una unidad USB infectada. El equipo de respuesta a incidentes logró extraer los registros de tráfico de red de los puntos finales. Utilice Brim para investigar el tráfico de la red en busca de indicadores de un ataque y determinar quién está detrás de los ataques.
Obtenga notas de informática forense
Preguntas y respuestas del desafío
Comience cargando la captura de paquetes Infection1 en Brim para investigar el evento de compromiso para la primera máquina. Todos los PCAP se pueden encontrar aquí: /home/ubuntu/Escritorio/PCAP
Proporcione la dirección IP de la víctima.
La víctima hizo un éxito HTTP conexión a uno de los dominios y recibió el Response_body_len de 1309 (tamaño del contenido sin comprimir de los datos transferidos desde el servidor). Proporcione el dominio y la dirección IP de destino.
cuantos unicos DNS ¿Se realizaron solicitudes al dominio cab[.]myfkn[.]com (incluido el dominio en mayúscula)?
Proporcione el URI del dominio bhaktivrind[.]com al que la víctima accedió a través de HTTP.
Proporcione la dirección IP del servidor malicioso y el ejecutable que la víctima descargó del servidor.
Navegue hasta la captura de paquetes de Infection2 en Brim para investigar el evento de compromiso para la segunda máquina.
Proporcione la dirección IP de la máquina víctima.
¿Cuántas conexiones POST se realizaron a la dirección IP en la pregunta anterior?
Proporcione el dominio desde donde se descargó el binario.
Proporcione el nombre del binario, incluido el URI completo.
Proporcione la dirección IP del dominio que aloja el binario.
Hubo 2 alertas de Suricata "Se detectó un troyano de red". ¿Cuáles fueron las direcciones IP de origen y destino?
Echando un vistazo al dominio .top en HTTP solicitudes, proporcione el nombre del ladrón (troyano que recopila información de un sistema) involucrado en esta captura de paquetes usando Base de datos URLhaus.
Proporcione la dirección IP de la máquina víctima.
cuantos unicos DNS ¿Se realizaron consultas al dominio asociado desde la primera dirección IP de la respuesta anterior?
¿Cuántos archivos binarios se descargaron en total del dominio anterior?
Proporcionó el agente de usuario listado para descargar los archivos binarios.
Proporcionar la cantidad de DNS conexiones realizadas en total para esta captura de paquetes.
Con algunos conocimientos de OSINT, proporcione el nombre del gusano utilizando el primer dominio que haya logrado recopilar en la pregunta 2. (Utilice comillas para las búsquedas de Google, no utilice .ru en su búsqueda y NO interactúe con el dominio directamente).