Abbiamo trattato esempi di analisi di incidenti di sicurezza informatica come DNS anomali, attacchi di phishing e vulnerabilità Log4j utilizzando Zeek IDS. Abbiamo utilizzato Zeek IDS in modalità di analisi dei pacchetti offline mentre può ancora essere utilizzato in modalità catturata dal vivo. Gli esempi utilizzati nel video fanno parte di Esercizi TryHackMe Zeek stanza che fa parte del tracciato SOC di livello 1.

Appunti pratici della suite Burp

Il corso pratico completo sul Penetration Testing delle applicazioni Web

Punti salienti

Zeek è un analizzatore di traffico di rete passivo e open source. Molti operatori utilizzano Zeek come monitor di sicurezza di rete (NSM) per supportare indagini su attività sospette o dannose. Zeek supporta inoltre un'ampia gamma di attività di analisi del traffico oltre l'ambito della sicurezza, inclusa la misurazione delle prestazioni e la risoluzione dei problemi.

Esegui Zeek come servizio per poter eseguire l'acquisizione di pacchetti di rete in tempo reale o per ascoltare il traffico di rete in tempo reale.
Per eseguire Zeek come servizio dovremo avviare il modulo “ZeekControl” che richiede autorizzazioni di superutente per essere utilizzato. Puoi elevare i privilegi di sessione e passare all'account superutente per esaminare i file di registro generati con il seguente comando: sudo su

Risposte in camera

Investigare il dns-tunneling.pcap file. Investigare il dns.log file. Qual è il numero di record DNS collegati all'indirizzo IPv6?

320

Investigare il conn.log file. Qual è la durata più lunga della connessione?

9.420791

Esiste un'enorme quantità di query DNS inviate allo stesso dominio. Ciò è anormale. Scopriamo quali host sono coinvolti in questa attività. Investigare il conn.log file. Qual è l'indirizzo IP dell'host di origine?

10.20.57.3

Esamina i registri. Qual è l'indirizzo di origine sospetto? Inserisci la tua risposta formato defangato.

10[.]6[.]27[.]102

Investigare il http.log file. Da quale indirizzo di dominio sono stati scaricati i file dannosi? Inserisci la tua risposta in formato defangato.

smart-fax[.]com

Esamina il documento dannoso in VirusTotal. Che tipo di file è associato al documento dannoso?

VBA

Indagare sul malware estratto .exe file. Qual è il nome del file indicato in Virustotal?

PleaseWaitWindow.exe

Investiga sui malintenzionati .exe file in VirusTotal. Qual è il nome di dominio contattato? Inserisci la tua risposta formato defangato.

hopto[.]org

Esaminare il file http.log. Qual è il nome della richiesta del file dannoso scaricato .exe file?

knr.exe

Esaminare il file log4shell.pcapng con lo script discovery-log4j.zeek. Esaminare il file firma.log. Qual è il numero di accessi alla firma?

3

Investigare il http.log file. Quale strumento viene utilizzato per la scansione?

nmap

Investigare il http.log file. Qual è l'estensione del file dell'exploit?

.classe

Esaminare il file log4j.log. Decodifica i comandi base64. Qual è il nome del file creato?

Pwned

Videoprocedura dettagliata

, , , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli