Équipe Bleue | Enquêter sur les logiciels malveillants et le spam avec Wireshark

EssayezHackMe Carnage

Nous avons couvert l'analyse d'un incident avec Wireshark. Nous avons utilisé les filtres Wireshark pour enquêter et révéler les logiciels malveillants et leur activité.

Abonnez-vous à mon abonnement à ma chaîne YouTube pour recevoir notes de cybersécurité. Il comprend également des notes sur WireShark.

Eric Fischer du service des achats de Bartell Ltd a reçu un e-mail d'un contact connu avec un document Word en pièce jointe. En ouvrant le document, il a accidentellement cliqué sur « Activer le contenu ». Le service SOC a immédiatement reçu une alerte de l'agent du point final indiquant que le poste de travail d'Eric établissait des connexions sortantes suspectes. Le pcap a été récupéré du capteur réseau et vous a été remis pour analyse.

Obtenez les notes de l'équipe bleue

Tâche: Enquêtez sur la capture de paquets et découvrez les activités malveillantes.

*Le crédit revient à Brad Duncan pour capturer le trafic et partager la capture de paquets pcap avec la communauté InfoSec. 

Réponses au défi

Quelle était la date et l'heure du premier HTTP connexion à l'IP malveillante ?

(format de réponse: aaaa-mm-jj hh:mm:ss)

Quel est le nom du fichier zip téléchargé ?

Quel était le domaine hébergeant le fichier zip malveillant ?

Sans télécharger le fichier, quel est le nom du fichier dans le fichier zip ?

Quel est le nom du serveur Web de l'adresse IP malveillante à partir de laquelle le fichier zip a été téléchargé ?

Quelle est la version du serveur Web de la question précédente ?

Des fichiers malveillants ont été téléchargés sur l'hôte victime à partir de plusieurs domaines. Quels étaient les trois domaines impliqués dans cette activité ?

Quelle autorité de certification a délivré le certificat SSL au premier domaine de la question précédente ?

Quelles sont les deux adresses IP des serveurs Cobalt Strike ? Utilisez VirusTotal (l'onglet Communauté) pour confirmer si les adresses IP sont identifiées comme des serveurs Cobalt Strike C2. (format de réponse : saisissez les adresses IP dans un ordre séquentiel)
Quel est l'en-tête Host pour la première adresse IP de Cobalt Strike de la question précédente ?
Quel est le nom de domaine de la première adresse IP du serveur Cobalt Strike ? Vous pouvez utiliser VirusTotal pour confirmer s'il s'agit du serveur Cobalt Strike (consultez l'onglet Communauté).
Quel est le nom de domaine de la deuxième IP du serveur Cobalt Strike ? Vous pouvez utiliser VirusTotal pour confirmer s'il s'agit du serveur Cobalt Strike (consultez l'onglet Communauté).

Quel est le nom de domaine du trafic post-infection ?

Quels sont les onze premiers caractères que l'hôte victime envoie au domaine malveillant impliqué dans le trafic post-infection ?

Quelle était la longueur du premier paquet envoyé au serveur C2 ?

Quel était l’en-tête du serveur pour le domaine malveillant de la question précédente ?

Le malware utilisait une API pour vérifier l'adresse IP de la machine de la victime. Quelle était la date et l'heure à laquelle le DNS une requête pour le domaine de vérification IP a-t-elle eu lieu ? (format de réponse: aaaa-mm-jj hh:mm:ss UTC)

Quel était le domaine dans le DNS requête de la question précédente ?

Il semble qu'il y ait eu une activité de spam malveillant (malspam). Quelle a été la première adresse MAIL FROM observée dans le trafic ?

Combien de paquets ont été observés pour le SMTP trafic?

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles