introduzione
In questa procedura dettagliata video, abbiamo spiegato a RedLine di Fireeye come eseguire la risposta agli incidenti, l'analisi della memoria e l'analisi forense del computer. Questa era la prima parte del video di stanza della linea rossa da tryhackme.
Ottieni gli appunti sullo studio sulla sicurezza informatica di Blue Team
Il corso pratico completo sul framework Metasploit
Molti strumenti possono aiutare un analista della sicurezza o un risponditore di incidenti nell'eseguire l'analisi della memoria su un endpoint potenzialmente compromesso. Uno degli strumenti più popolari è Volatilità, che consentirà a un analista di scavare in profondità quando esamina gli artefatti della memoria da un endpoint. Ma questo processo può richiedere tempo. Spesso, quando un analista effettua il triaging, il tempo è essenziale e l'analista deve eseguire una rapida valutazione per determinare la natura di un evento di sicurezza.
È qui che si trova lo strumento FireEye Linea rossa entra in gioco. Redline fornirà essenzialmente a un analista una vista di 30.000 piedi (10 chilometri di altezza) di un Windows, Linuxo endpoint macOS. Utilizzando Redline, puoi analizzare un endpoint potenzialmente compromesso attraverso il dump della memoria, incluse varie strutture di file. Con una GUI (interfaccia utente grafica) dall'aspetto gradevole, puoi facilmente trovare i segni di attività dannose.
Ecco cosa puoi fare utilizzando Redline:
- Raccogliere i dati del registro (solo host Windows)
- Raccogli i processi in esecuzione
- Raccogliere immagini di memoria (prima di Windows 10)
- Raccogli la cronologia del browser
- Cerca stringhe sospette
- E altro ancora!
Nota: l'attività 6 presenta un problema tecnico e tryhackme sta lavorando per risolverlo. Rilascerò le risposte una volta convalidata la correzione.
Risposte
Stai leggendo un articolo di ricerca su un nuovo ceppo di ransomware. Desideri eseguire la raccolta dati sul tuo computer in base ai modelli forniti, come domini, hash, indirizzi IP, nomi file, ecc. Quale metodo sceglieresti per eseguire una raccolta dati granulare rispetto agli indicatori noti?
Quale script eseguiresti per avviare il processo di raccolta dei dati? Si prega di includere l'estensione del file.
Se vuoi raccogliere i dati su Dischi e Volumi, sotto quale opzione puoi trovarli?
Quale cache utilizza Windows per mantenere una preferenza per il codice eseguito di recente?
Fornire il sistema operativo rilevato per la workstation.
Trova il messaggio che l'intruso ti ha lasciato nell'attività.
È presente un nuovo ID evento di sistema creato da un intruso con il nome di origine "THM-Redline-User" e il tipo "ERRORE". Trova l'ID evento #.
Fornire il messaggio per l'ID evento.
Sembra che l'intruso abbia scaricato un file contenente il flag per la domanda 8. Fornisci l'URL completo del sito web.
Fornire il percorso completo in cui è stato scaricato il file includendo il nome del file.
Fornisci il messaggio che l'intruso ti ha lasciato nel file.
Con quale nome viene mascherato il file?
Chi è il proprietario del file?
Qual è la dimensione del file in byte?
Fornire il percorso completo in cui è stato posizionato il file .ioc dopo l'analisi Redline, includere anche il nome file .ioc
Riesci a trovare il nome della nota lasciata sul desktop per "Charles"?
Trova il servizio Windows Defender; qual è il nome della DLL del suo servizio?
L'utente ha scaricato manualmente un file zip dal Web. Riesci a trovare il nome del file?
Fornire il nome file dell'eseguibile dannoso che è stato rilasciato sul desktop dell'utente.
Fornire l'hash MD5 per l'eseguibile dannoso rilasciato.
Qual è il nome del ransomware?
Videoprocedura dettagliata
P1
P2
Ehi, hai completato l'attività 6?
Ho intenzione di rivederlo presto.