Уроки форензики. Расследуем киберинцидент HawkEye - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Популярные статьи
Наш опрос



Наши новости


РЕКЛАМА


ВАША РЕКЛАМА
ДОБАВИТЬ БАННЕР


17-07-2022, 00:00
Уроки форензики. Расследуем киберинцидент HawkEye - «Новости»
Рейтинг:
Категория: Новости

HawkEye с ресур­са CyberDefenders. Научим­ся раз­бирать сетевой тра­фик, извле­кать арте­фак­ты и вос­ста­новим кар­тину взло­ма информа­цион­ного ресур­са.

Сог­ласно сце­нарию бух­галтер орга­низа­ции получил элек­трон­ное пись­мо, содер­жащее ссыл­ку для ска­чива­ния сче­та. Вско­ре пос­ле откры­тия пись­ма был обна­ружен подоз­ритель­ный сетевой тра­фик. Наша задача в качес­тве ана­лити­ка SOC изу­чить этот тра­фик, выявить вре­донос­ный файл и обна­ружить попыт­ки эксфиль­тра­ции дан­ных.


По резуль­татам решения кей­са необ­ходимо отве­тить на ряд воп­росов, но я покажу сам про­цесс решения, а не отве­ты на них. Ты можешь сам пов­торить работу и прой­ти опрос для зак­репле­ния зна­ний.


Пер­вым делом ска­чаем файл ар­хива с сетевым тра­фиком и прис­тупим к его иссле­дова­нию.


 

Инструментарий




  1. Wireshark — ана­лиза­тор сетевых про­токо­лов.


  2. NetworkMiner — инс­тру­мент сетево­го кри­мина­лис­тичес­кого ана­лиза. Упро­щает ана­лиз тра­фика, обна­ружи­вает опе­раци­онные сис­темы хос­тов, их сетевые име­на и так далее.


  3. Exe2Aut — деком­пилятор ском­пилиро­ван­ных скрип­тов AutoIt3.


  4. ResourceHacker — редак­тор ресур­сов исполня­емых фай­лов.


  5. DIE — прог­рамма для опре­деле­ния типов фай­лов.


 

Анализ сетевого трафика


Пос­ле рас­паков­ки архи­ва с задани­ем мы получим файл сетево­го тра­фика с рас­ширени­ем .pcap. Откро­ем его в Wireshark и уви­дим ста­тис­тичес­кую информа­цию о фай­ле зах­вата. Для это­го перехо­ди на вклад­ку «Ста­тис­тика → Свой­ства фай­ла Зах­вата».


Ста­тис­тика фай­ла зах­вата

Вре­мя зах­вата пер­вого пакета — 2019-04-10 20:37:07 UTC, вре­мя зах­вата пос­ледне­го пакета — 2019-04-11 21:40:48, общее вре­мя записи сетево­го тра­фика — 01:03:41. Количес­тво пакетов в фай­ле зах­вата — 4003.


По­лучим ста­тис­тику о конеч­ных точ­ках, которые при­сутс­тву­ют в сетевом тра­фике. Заходим на вклад­ку «Ста­тис­тика → Конеч­ные точ­ки».


Уроки форензики. Расследуем киберинцидент HawkEye - «Новости»
Спи­сок конеч­ных точек на уров­не про­токо­ла Ethernet
Спи­сок конеч­ные точек на уров­не IPv4

Ак­тивный компь­ютер име­ет MAC-адрес 00:08:02:1c:47:ae и IP-адрес 10.4.10.132. В фай­ле зах­вата учас­тву­ет три компь­юте­ра орга­низа­ции с мас­кой 24.


Оп­ределим про­изво­дите­ля сетевой кар­ты по MAC-адре­су, для это­го вос­поль­зуем­ся сер­висом networkcenter.info. Про­изво­дитель сетевой кар­ты — Hewlett Packard.


Да­лее заг­рузим файл в ути­литу NetworkMiner и получим информа­цию о хос­те бух­галте­ра. Вво­дим IP 10.4.10.132 и имя компь­юте­ра BEIJING-5CD1-PC.


Ин­форма­ция о ском­про­мети­рован­ном хос­те

Пос­коль­ку по сце­нарию бух­галтер перешел по ссыл­ке и заг­рузил исполня­емый файл, отфиль­тру­ем сетевой тра­фик по про­токо­лу DNS и най­дем все зап­росы доменов.


Ин­форма­ция о зап­рашива­емых доменах

В пакете 204 обна­ружен зап­рос к DNS-сер­веру орга­низа­ции с IP-адре­сом 10.4.10.4. Получен адрес домен­ного име­ни proforma-invoices.com. Про­веря­ем этот домен на VirusTotal и обна­ружи­ваем, что пять анти­виру­сов счи­тают его вре­донос­ным. Получа­ется, что ком­про­мета­ция сети про­изош­ла в 20:37:53 10.04.2019.


Теги: CSS

Просмотров: 74
Комментариев: 0:   17-07-2022, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle