Nous avons couvert l'analyse des cyberincidents avec ELK Kibana ou Elastic Search. Nous avons couvert les journaux http extraits d'une machine Windows compromise communiquant avec le serveur C2. Cela faisait partie de EssayezHackMe ItsyBitsy.
Obtenez les notes de l'équipe bleue
Description du défi
Pendant la surveillance normale du SOC, l'analyste John observé une alerte sur une solution IDS indiquant une potentielle communication C2 d'un utilisateur Browne du service RH. Un fichier suspect contenant un modèle malveillant a été consulté. THM : { ________ }. Des journaux de connexion HTTP d'une semaine ont été extraits pour enquêter. En raison de ressources limitées, seuls les journaux de connexion ont pu être extraits et ingérés dans le journaux_de connexion index dans Kibana.
Réponses de la salle
Combien d’événements ont été restitués pour le mois de mars 2022 ?
La machine de l'utilisateur a utilisé un binaire Windows légitime pour télécharger un fichier depuis le serveur C2. Quel est le nom du binaire ?
La machine infectée s'est connectée à cette période à un célèbre site de partage de fichiers, qui fait également office de serveur C2 utilisé par les auteurs du malware pour communiquer. Quel est le nom du site de partage de fichiers ?
Quelle est l’URL complète du C2 auquel l’hôte infecté est connecté ?
Un fichier a été consulté sur le site de partage de fichiers. Quel est le nom du fichier consulté ?
Le fichier contient un code secret au format THM{_____}.
Transcription vidéo
Que se passe-t-il sur YouTube aujourd'hui ? Nous allons relever le défi TryHackMe Itsy où vous devrez démontrer vos compétences en matière de réponse aux incidents en les analysant.
Les journaux de connexion HTTP ont été extraits pour enquêter. Très bien, l'analyste a donc retiré la capture de paquets du trafic. Les journaux de connexion peuvent être extraits et ingérés dans l'index des journaux de connexion dans Kibana, tout comme dans Splunk, nous avons besoin d'un index à analyser pour stocker les données. Nous avons un total de 1 482 événements. C'est pour la première question. Quelle est l'adresse IP associée à l'utilisateur suspecté dans les journaux ? Nous avons appris que la machine de l'utilisateur Brown était compromise et que sa machine communique avec le serveur C2. Il faut donc évidemment trouver l’adresse IP de la machine brune.
Nous avons les champs qui ont été extraits par Kibana. Nous avons le champ IP source et comme vous pouvez le voir, nous avons 99% des événements générés par cette adresse IP qui se termine par 52.
Et 0,4% des événements ont été générés par l'IP qui se termine par 54. D'accord. Maintenant, laquelle est la bonne en utilisant le bon sens ? C'est évidemment l'IP qui génère la communication avec le serveur C2.
Ici, pour filtrer, comme vous pouvez le voir, nous n'avons que deux événements provenant de cette adresse IP, jetez un œil aux événements. La communication s'effectue donc via le port 80 et pastebin.com, qui est un site de partage de fichiers.
Et voici l'adresse IP source. Il s'agit de l'URL. Maintenant, si vous êtes assez curieux de savoir quelle est cette URL, vous allez prendre pastelin.com. Et comme vous pouvez le constater, nous accédons à un fichier nommé secret.txt. Il a le drapeau. Ainsi, en faisant cela, vous avez répondu à toutes les questions.
De plus, il y a un agent et il est très évident qu'il n'appartient pas à un navigateur mais à une application. Droite? Parce que s'il appartenait à un navigateur, cela aurait été Chrome Mozilla Safari Opera, non ? Évidemment, cet utilisateur asiatique est soit choisi manuellement par la personne qui télécharge, soit par l'application. Voilà donc la réponse.
La machine infectée s'est connectée au célèbre site de partage de fichiers à cette époque, le site de partage de fichiers qui fait également office de serveur C2 désormais, mais en gros, vous pouvez répondre au reste des questions simplement en découvrant ces deux-là.
Vidéo pas à pas
