Introduction
Nous avons expliqué comment analyser et effectuer une analyse judiciaire du réseau sur les fichiers pcap avec Brim. nous avons également montré comment analyser les captures de paquets avec Brim pour enquêter sur l'activité des logiciels malveillants. C'était la deuxième partie de EssayezHackMe MasterMinds.
Trois machines du département financier de Pfeffer PLC ont été compromises. Nous pensons que la source initiale de la compromission est une tentative de phishing et une clé USB infectée. L'équipe de réponse aux incidents a réussi à extraire les journaux de trafic réseau des points finaux. Utilisez Brim pour enquêter sur le trafic réseau à la recherche de tout indicateur d'attaque et déterminer qui se cache derrière les attaques.
Obtenir des notes d'investigation informatique
Questions et réponses du défi
Commencez par charger la capture de paquets Infection1 dans Brim pour enquêter sur l’événement de compromission pour la première machine. Tous les PCAP peuvent être trouvés ici : /home/ubuntu/Bureau/PCAP
Fournissez l'adresse IP de la victime.
La victime a réussi HTTP connexion à l'un des domaines et a reçu le réponse_body_len de 1 309 (taille du contenu non compressé des données transférées depuis le serveur). Fournissez le domaine et l’adresse IP de destination.
Combien d'uniques DNS des demandes ont été faites vers le domaine cab[.]myfkn[.]com (y compris le domaine en majuscule) ?
Fournissez l'URI du domaine bhaktivrind[.]com que la victime a contacté via HTTP.
Fournissez l'adresse IP du serveur malveillant et l'exécutable que la victime a téléchargé depuis le serveur.
Veuillez accéder à la capture de paquets Infection2 dans Brim pour enquêter sur l'événement de compromission pour la deuxième machine.
Fournissez l'adresse IP de la machine victime.
Combien de connexions POST ont été établies avec l’adresse IP à la question précédente ?
Fournissez le domaine à partir duquel le binaire a été téléchargé.
Fournissez le nom du binaire, y compris l'URI complet.
Fournissez l'adresse IP du domaine qui héberge le binaire.
Il y a eu 2 alertes Suricata « Un cheval de Troie réseau a été détecté ». Quelles étaient les adresses IP source et destination ?
Jeter un œil au domaine .top dans HTTP demandes, fournissez le nom du voleur (cheval de Troie qui collecte des informations à partir d'un système) impliqué dans cette capture de paquets en utilisant Base de données URLhaus.
Fournissez l'adresse IP de la machine victime.
Combien d'uniques DNS des requêtes ont été faites sur le domaine associé à partir de la première adresse IP de la réponse précédente ?
Combien de fichiers binaires ont été téléchargés au total à partir du domaine ci-dessus ?
Fourni l'agent utilisateur répertorié pour télécharger les binaires.
Fournir le montant de DNS connexions effectuées au total pour cette capture de paquets.
Avec quelques compétences OSINT, fournissez le nom du ver en utilisant le premier domaine que vous avez réussi à collecter à partir de la question 2. (Veuillez utiliser des guillemets pour les recherches Google, n'utilisez pas .ru dans votre recherche et N'interagissez PAS avec le domaine. directement).
