Abbiamo trattato esempi di analisi di incidenti di sicurezza informatica come DNS anomali, attacchi di phishing e vulnerabilità Log4j utilizzando Zeek IDS. Abbiamo utilizzato Zeek IDS in modalità di analisi dei pacchetti offline mentre può ancora essere utilizzato in modalità catturata dal vivo. Gli esempi utilizzati nel video fanno parte di Esercizi TryHackMe Zeek stanza che fa parte del tracciato SOC di livello 1.
Appunti pratici della suite Burp
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Punti salienti
Zeek è un analizzatore di traffico di rete passivo e open source. Molti operatori utilizzano Zeek come monitor di sicurezza di rete (NSM) per supportare indagini su attività sospette o dannose. Zeek supporta inoltre un'ampia gamma di attività di analisi del traffico oltre l'ambito della sicurezza, inclusa la misurazione delle prestazioni e la risoluzione dei problemi.
Esegui Zeek come servizio per poter eseguire l'acquisizione di pacchetti di rete in tempo reale o per ascoltare il traffico di rete in tempo reale.
Per eseguire Zeek come servizio dovremo avviare il modulo “ZeekControl” che richiede autorizzazioni di superutente per essere utilizzato. Puoi elevare i privilegi di sessione e passare all'account superutente per esaminare i file di registro generati con il seguente comando: sudo su
Risposte in camera
Investigare il dns-tunneling.pcap file. Investigare il dns.log file. Qual è il numero di record DNS collegati all'indirizzo IPv6?
320
Investigare il conn.log file. Qual è la durata più lunga della connessione?
9.420791
Esiste un'enorme quantità di query DNS inviate allo stesso dominio. Ciò è anormale. Scopriamo quali host sono coinvolti in questa attività. Investigare il conn.log file. Qual è l'indirizzo IP dell'host di origine?
10.20.57.3
Esamina i registri. Qual è l'indirizzo di origine sospetto? Inserisci la tua risposta formato defangato.
10[.]6[.]27[.]102
Investigare il http.log file. Da quale indirizzo di dominio sono stati scaricati i file dannosi? Inserisci la tua risposta in formato defangato.
smart-fax[.]com
Esamina il documento dannoso in VirusTotal. Che tipo di file è associato al documento dannoso?
VBA
Indagare sul malware estratto .exe file. Qual è il nome del file indicato in Virustotal?
PleaseWaitWindow.exe
Investiga sui malintenzionati .exe file in VirusTotal. Qual è il nome di dominio contattato? Inserisci la tua risposta formato defangato.
hopto[.]org
Esaminare il file http.log. Qual è il nome della richiesta del file dannoso scaricato .exe file?
knr.exe
Esaminare il file log4shell.pcapng con lo script discovery-log4j.zeek. Esaminare il file firma.log. Qual è il numero di accessi alla firma?
3
Investigare il http.log file. Quale strumento viene utilizzato per la scansione?
nmap
Investigare il http.log file. Qual è l'estensione del file dell'exploit?
.classe
Esaminare il file log4j.log. Decodifica i comandi base64. Qual è il nome del file creato?
Pwned
Videoprocedura dettagliata