introduzione

Abbiamo spiegato come analizzare e condurre analisi forensi di rete sui file pcap con Brim. abbiamo anche dimostrato come analizzare l'acquisizione di pacchetti con Brim per indagare sull'attività del malware. Questa era la seconda parte di ProvaHackMe MasterMinds.

Tre macchine del reparto Finanze della Pfeffer PLC sono state compromesse. Sospettiamo che la fonte iniziale della compromissione sia avvenuta tramite un tentativo di phishing e un'unità USB infetta. Il team di risposta agli incidenti è riuscito a estrarre i registri del traffico di rete dagli endpoint. Usa Brim per indagare sul traffico di rete per individuare eventuali indicatori di un attacco e determinare chi si nasconde dietro gli attacchi.

Ottieni appunti di informatica forense

Domande e risposte della sfida

Inizia caricando l'acquisizione del pacchetto Infection1 in Brim per indagare sull'evento di compromissione per la prima macchina. Tutti i PCAP possono essere trovati qui: /home/ubuntu/Desktop/PCAP

Fornire l'indirizzo IP della vittima.

La vittima ha tentato di effettuare connessioni HTTP a due domini sospetti con lo stato "404 Not Found". Fornire gli host/domini richiesti.

La vittima ha avuto successo HTTP connessione a uno dei domini e ricevuto il Response_body_len di 1.309 (dimensione del contenuto non compresso dei dati trasferiti dal server). Fornire il dominio e l'indirizzo IP di destinazione.

Quanti unici DNS sono state effettuate richieste al dominio cab[.]myfkn[.]com (incluso il dominio in maiuscolo)?

Fornisci l'URI del dominio bhaktivrind[.]com che la vittima ha raggiunto tramite HTTP.

Fornire l'indirizzo IP del server dannoso e l'eseguibile scaricato dalla vittima dal server.

Sulla base delle informazioni raccolte dalla seconda domanda, fornire il nome del malware utilizzato Virus Total.

Per favore, vai all'acquisizione dei pacchetti Infection2 in Brim per indagare sull'evento di compromissione per la seconda macchina.

Fornire l'indirizzo IP del computer vittima.

Fornire l'indirizzo IP a cui la vittima ha effettuato le connessioni POST.

Quante connessioni POST sono state effettuate all'indirizzo IP nella domanda precedente?

Fornisci il dominio da cui è stato scaricato il file binario.

Fornire il nome del file binario incluso l'URI completo.

Fornire l'indirizzo IP del dominio che ospita il file binario.

Sono stati rilevati 2 avvisi Suricata "È stato rilevato un trojan di rete". Quali erano gli indirizzi IP di origine e di destinazione?

Dai un'occhiata al dominio .top in HTTP richieste, fornire il nome dello stealer (Trojan che raccoglie informazioni da un sistema) coinvolto nell'acquisizione di questo pacchetto utilizzando Database URLhaus.

Per favore, carica l'acquisizione del pacchetto Infection3 in Brim per indagare sull'evento di compromissione per la terza macchina.

Fornire l'indirizzo IP del computer vittima.

Fornire tre domini C2 da cui sono stati scaricati i file binari (a partire dal primo all'ultimo nel timestamp)
Fornisci gli indirizzi IP per tutti e tre i domini nella domanda precedente.

Quanti unici DNS sono state fatte domande al dominio associato dal primo indirizzo IP della risposta precedente?

Quanti file binari sono stati scaricati in totale dal dominio sopra indicato?

A condizione che l'agente utente sia elencato per scaricare i file binari.

Fornire l'importo di DNS connessioni effettuate in totale per questa acquisizione di pacchetti.

Con alcune competenze OSINT, fornisci il nome del worm utilizzando il primo dominio che sei riuscito a ottenere dalla domanda 2. (Utilizza le virgolette per le ricerche su Google, non utilizzare .ru nella ricerca e NON interagire con il dominio direttamente).

Video walk-through(i)

, , , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli