Squadra Blu | Indagare su malware e spam con Wireshark

ProvaHackMe Carnage

Abbiamo trattato l'analisi di un incidente con Wireshark. Abbiamo utilizzato i filtri Wireshark per indagare e rivelare malware e la sua attività.

Iscriviti al mio abbonamento al canale YouTube per ricevere note sulla sicurezza informatica. Include anche note su Wireshark.

Eric Fischer del reparto acquisti di Bartell Ltd ha ricevuto un'e-mail da un contatto noto con un documento Word allegato. All'apertura del documento, ha cliccato accidentalmente su "Abilita contenuto". Il dipartimento SOC ha ricevuto immediatamente un avviso dall'agente endpoint che la workstation di Eric stava effettuando connessioni sospette in uscita. Il pcap è stato recuperato dal sensore di rete e consegnato all'utente per l'analisi.

Ottieni le note del Blue Team

Compito: indaga sull'acquisizione dei pacchetti e scopri le attività dannose.

*Il merito va a Brad Duncan per acquisire il traffico e condividere l'acquisizione dei pacchetti pcap con la comunità InfoSec. 

Risposte alle sfide

Qual era la data e l'ora del primo? HTTP connessione all'IP dannoso?

(formato della risposta: aaaa-mm-gg hh:mm:ss)

Qual è il nome del file zip che è stato scaricato?

Qual era il dominio che ospitava il file zip dannoso?

Senza scaricare il file, qual è il nome del file nel file zip?

Qual è il nome del server web dell'IP dannoso da cui è stato scaricato il file zip?

Qual è la versione del server web della domanda precedente?

File dannosi sono stati scaricati sull'host della vittima da più domini. Quali erano i tre? domini coinvolti in questa attività?

Quale autorità di certificazione ha emesso il certificato SSL al primo dominio della domanda precedente?

Quali sono i due indirizzi IP dei server Cobalt Strike? Utilizza VirusTotal (la scheda Community) per verificare se gli IP sono identificati come server Cobalt Strike C2. (formato risposta: inserire gli indirizzi IP in ordine sequenziale)
Qual è l'intestazione Host per il primo indirizzo IP Cobalt Strike della domanda precedente?
Qual è il nome di dominio per il primo indirizzo IP del server Cobalt Strike? Puoi utilizzare VirusTotal per verificare se si tratta del server Cobalt Strike (controlla la scheda Comunità).
Qual è il nome di dominio del secondo IP del server Cobalt Strike? Puoi utilizzare VirusTotal per verificare se si tratta del server Cobalt Strike (controlla la scheda Comunità).

Qual è il nome di dominio del traffico post-infezione?

Quali sono i primi undici caratteri che l'host della vittima invia al dominio dannoso coinvolto nel traffico post-infezione?

Qual era la lunghezza del primo pacchetto inviato al server C2?

Qual era l'intestazione Server per il dominio dannoso della domanda precedente?

Il malware utilizzava un'API per verificare l'indirizzo IP del computer della vittima. Qual era la data e l'ora in cui il DNS si è verificata una query per il dominio di controllo IP? (formato della risposta: aaaa-mm-gg hh:mm:ss UTC)

Qual era il dominio in DNS query dalla domanda precedente?

Sembra che sia in corso un'attività di spam dannoso (malspam). Qual è stato il primo indirizzo MAIL FROM osservato nel traffico?

Quanti pacchetti sono stati osservati per il file SMTP traffico?

Video walk-through

, ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli