Équipe Bleue | Enquêter sur les logiciels malveillants et le spam avec Wireshark
EssayezHackMe Carnage
Nous avons couvert l'analyse d'un incident avec Wireshark. Nous avons utilisé les filtres Wireshark pour enquêter et révéler les logiciels malveillants et leur activité.
Abonnez-vous à mon abonnement à ma chaîne YouTube pour recevoir notes de cybersécurité. Il comprend également des notes sur WireShark.
Eric Fischer du service des achats de Bartell Ltd a reçu un e-mail d'un contact connu avec un document Word en pièce jointe. En ouvrant le document, il a accidentellement cliqué sur « Activer le contenu ». Le service SOC a immédiatement reçu une alerte de l'agent du point final indiquant que le poste de travail d'Eric établissait des connexions sortantes suspectes. Le pcap a été récupéré du capteur réseau et vous a été remis pour analyse.
Obtenez les notes de l'équipe bleue
Tâche: Enquêtez sur la capture de paquets et découvrez les activités malveillantes.
*Le crédit revient à Brad Duncan pour capturer le trafic et partager la capture de paquets pcap avec la communauté InfoSec.
Réponses au défi
Quelle était la date et l'heure du premier HTTP connexion à l'IP malveillante ?
(format de réponse: aaaa-mm-jj hh:mm:ss)
Quel est le nom du fichier zip téléchargé ?
Sans télécharger le fichier, quel est le nom du fichier dans le fichier zip ?
Quel est le nom du serveur Web de l'adresse IP malveillante à partir de laquelle le fichier zip a été téléchargé ?
Quelle est la version du serveur Web de la question précédente ?
Des fichiers malveillants ont été téléchargés sur l'hôte victime à partir de plusieurs domaines. Quels étaient les trois domaines impliqués dans cette activité ?
Quelle autorité de certification a délivré le certificat SSL au premier domaine de la question précédente ?
Quel est le nom de domaine du trafic post-infection ?
Quels sont les onze premiers caractères que l'hôte victime envoie au domaine malveillant impliqué dans le trafic post-infection ?
Quel était l’en-tête du serveur pour le domaine malveillant de la question précédente ?
Le malware utilisait une API pour vérifier l'adresse IP de la machine de la victime. Quelle était la date et l'heure à laquelle le DNS une requête pour le domaine de vérification IP a-t-elle eu lieu ? (format de réponse: aaaa-mm-jj hh:mm:ss UTC)
Quel était le domaine dans le DNS requête de la question précédente ?
Combien de paquets ont été observés pour le SMTP trafic?