introduzione
Abbiamo spiegato come analizzare e condurre analisi forensi di rete sui file pcap con Brim. abbiamo anche dimostrato come analizzare l'acquisizione di pacchetti con Brim per indagare sull'attività del malware. Questa era la seconda parte di ProvaHackMe MasterMinds.
Tre macchine del reparto Finanze della Pfeffer PLC sono state compromesse. Sospettiamo che la fonte iniziale della compromissione sia avvenuta tramite un tentativo di phishing e un'unità USB infetta. Il team di risposta agli incidenti è riuscito a estrarre i registri del traffico di rete dagli endpoint. Usa Brim per indagare sul traffico di rete per individuare eventuali indicatori di un attacco e determinare chi si nasconde dietro gli attacchi.
Ottieni appunti di informatica forense
Domande e risposte della sfida
Inizia caricando l'acquisizione del pacchetto Infection1 in Brim per indagare sull'evento di compromissione per la prima macchina. Tutti i PCAP possono essere trovati qui: /home/ubuntu/Desktop/PCAP
Fornire l'indirizzo IP della vittima.
La vittima ha avuto successo HTTP connessione a uno dei domini e ricevuto il Response_body_len di 1.309 (dimensione del contenuto non compresso dei dati trasferiti dal server). Fornire il dominio e l'indirizzo IP di destinazione.
Quanti unici DNS sono state effettuate richieste al dominio cab[.]myfkn[.]com (incluso il dominio in maiuscolo)?
Fornisci l'URI del dominio bhaktivrind[.]com che la vittima ha raggiunto tramite HTTP.
Fornire l'indirizzo IP del server dannoso e l'eseguibile scaricato dalla vittima dal server.
Per favore, vai all'acquisizione dei pacchetti Infection2 in Brim per indagare sull'evento di compromissione per la seconda macchina.
Fornire l'indirizzo IP del computer vittima.
Quante connessioni POST sono state effettuate all'indirizzo IP nella domanda precedente?
Fornisci il dominio da cui è stato scaricato il file binario.
Fornire il nome del file binario incluso l'URI completo.
Fornire l'indirizzo IP del dominio che ospita il file binario.
Sono stati rilevati 2 avvisi Suricata "È stato rilevato un trojan di rete". Quali erano gli indirizzi IP di origine e di destinazione?
Dai un'occhiata al dominio .top in HTTP richieste, fornire il nome dello stealer (Trojan che raccoglie informazioni da un sistema) coinvolto nell'acquisizione di questo pacchetto utilizzando Database URLhaus.
Fornire l'indirizzo IP del computer vittima.
Quanti unici DNS sono state fatte domande al dominio associato dal primo indirizzo IP della risposta precedente?
Quanti file binari sono stati scaricati in totale dal dominio sopra indicato?
A condizione che l'agente utente sia elencato per scaricare i file binari.
Fornire l'importo di DNS connessioni effettuate in totale per questa acquisizione di pacchetti.
Con alcune competenze OSINT, fornisci il nome del worm utilizzando il primo dominio che sei riuscito a ottenere dalla domanda 2. (Utilizza le virgolette per le ricerche su Google, non utilizzare .ru nella ricerca e NON interagire con il dominio direttamente).