Squadra Blu | Indagare su malware e spam con Wireshark
ProvaHackMe Carnage
Abbiamo trattato l'analisi di un incidente con Wireshark. Abbiamo utilizzato i filtri Wireshark per indagare e rivelare malware e la sua attività.
Iscriviti al mio abbonamento al canale YouTube per ricevere note sulla sicurezza informatica. Include anche note su Wireshark.
Eric Fischer del reparto acquisti di Bartell Ltd ha ricevuto un'e-mail da un contatto noto con un documento Word allegato. All'apertura del documento, ha cliccato accidentalmente su "Abilita contenuto". Il dipartimento SOC ha ricevuto immediatamente un avviso dall'agente endpoint che la workstation di Eric stava effettuando connessioni sospette in uscita. Il pcap è stato recuperato dal sensore di rete e consegnato all'utente per l'analisi.
Compito: indaga sull'acquisizione dei pacchetti e scopri le attività dannose.
*Il merito va a Brad Duncan per acquisire il traffico e condividere l'acquisizione dei pacchetti pcap con la comunità InfoSec.
Risposte alle sfide
Qual era la data e l'ora del primo? HTTP connessione all'IP dannoso?
(formato della risposta: aaaa-mm-gg hh:mm:ss)
Qual è il nome del file zip che è stato scaricato?
Senza scaricare il file, qual è il nome del file nel file zip?
Qual è il nome del server web dell'IP dannoso da cui è stato scaricato il file zip?
Qual è la versione del server web della domanda precedente?
File dannosi sono stati scaricati sull'host della vittima da più domini. Quali erano i tre? domini coinvolti in questa attività?
Quale autorità di certificazione ha emesso il certificato SSL al primo dominio della domanda precedente?
Qual è il nome di dominio del traffico post-infezione?
Quali sono i primi undici caratteri che l'host della vittima invia al dominio dannoso coinvolto nel traffico post-infezione?
Qual era l'intestazione Server per il dominio dannoso della domanda precedente?
Il malware utilizzava un'API per verificare l'indirizzo IP del computer della vittima. Qual era la data e l'ora in cui il DNS si è verificata una query per il dominio di controllo IP? (formato della risposta: aaaa-mm-gg hh:mm:ss UTC)
Qual era il dominio in DNS query dalla domanda precedente?
Quanti pacchetti sono stati osservati per il file SMTP traffico?