Professional Documents
Culture Documents
có tên we8105desk) đã quay lại bàn làm việc của mình sau khi tập gym, và thấy loa máy
tính phát ra tiếng kêu lạ, hình ảnh nền trên màn hình của anh ấy đã thay đổi và các tệp
của anh ấy không thể truy cập được. Alice, đồng nghiệp của anh đã từng thấy điều này
trước đây... cô đoán máy anh đã bị dính ransomware. Sau khi nói chuyện với Bob, Alice
biết được rằng Bob đã tìm thấy một chiếc USB ở bãi đậu xe sáng nay, anh đã cắm nó vào
máy tính để kiểm tra và vô tình mở một tài liệu word trên ổ USB có tên
"Miranda_Tate_unveiled.dotm". Nắm bắt được tình hình trên, Alice bắt tay vào điều tra
nguyên nhân...
1. Đâu là địa chỉ IPv4 gần đúng nhất của user we8105desk vào ngày 24AUG2016
Thu hẹp phạm vi điều tra về tháng 8 năm 2016:
Hình 1.
Tìm kiếm địa chỉ IP của we8105desk, sắp xếp dựa theo số lần xuất hiện:
we8105desk
| stats count by src_ip
| sort-count
Hình 2.
Hình 3.
Ta thấy địa chỉ 192.168.250.100 xuất hiện nhiều lần nhất trong khoảng thời gian
đó => Địa chỉ IP của we8105desk là: 192.168.250.100
2
Bài thực hành số xx: Tên bài thực hành
2. Trong số các signature của suricata mà phát hiện ra mã độc Cerber, đâu là cảnh
báo được gửi ít nhất? (Chỉ submit giá trị của signature ID vào câu trả lời)
cerber sourcetype=suricata
| stats count by alert.signature, alert.signature_id
| sort -count
Hình 4.
Hình 5.
Hình 6.
Hình 7.
Cải thiện query để loại bỏ các tên miền hợp lệ thường xuất hiện:
Hình 8.
Vậy có vẻ lúc đầu user đã connect vào tên miền solidaritedeproximite.org sau đó
tới cuối cùng thì được chuyển về: cerberhhyed5frqa.xmfir0.win
Tên miền cuối cùng được truy cập: cerberhhyed5frqa.xmfir0.win
4. Đâu là tên miền bị nghi ngờ đầu tiên mà user we8105desk truy cập ngày
24AUG2016?
Từ câu hỏi số 3, ta có tên miền đầu tiên được truy cập là: ‘solidaritedeproximite.org’
5. Trong quá trình lây nhiễm Cerber lần đầu, một file VBS sẽ được chạy. Toàn bộ
tập lệnh trong quá trình thực thi này được khởi chạy bởi 1 tiến trình .exe, có thể
host="we8105desk" sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational" (CommandLine="*D:\\*" OR ParentCommandLine="*D:\\*")
| eval length=len(CommandLine)
| table CommandLine, length
| sort by -length
| head 1
Hình 9.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
sourcetype=WinRegistry friendlyname
| stats count by registry_value_data
Hình 10.
Hình 11.
Hình 12.
*.pdf
| stats count by sourcetype
| sort -count
Hình 13.
Ta thấy rằng WinEvenLog:Security là event có chứa nhiều sự kiện liên quan tới PDF
nhất.
Thu hẹp phạm vi:
*.pdf sourcetype="wineventlog:security"
| stats count by dest
| sort -count
Hình 14.
sourcetype="wineventlog:security" dest="we9041srv.waynecorpinc.local"
Source_Address="192.168.250.100" Relative_Target_Name="*.pdf"
| stats dc(Relative_Target_Name)
Hình 15.
121214.tmp sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational" CommandLine=*
| table _time, CommandLine, ProcessId, ParentCommandLine, ParentProcessId
| reverse
Hình 16.
host=we8105desk sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational" *.txt
| stats count by TargetFilename
Tuy nhiên kết quả trả về cho thấy nó encrypt ở quá nhiều nơi, cần phải thu hẹp
phạm vi lại thành máy của Bob:
Hình 17.
host=we8105desk sourcetype="XmlWinEventLog:Microsoft-Windows-
Sysmon/Operational"
TargetFilename="C:\\Users\\bob.smith.WAYNECORPINC\\*.txt"
| stats dc(TargetFilename)
Hình 18.
src_ip="192.168.250.100" sourcetype=suricata
http.hostname=solidaritedeproximite.org
| table _time, http.http_method, http.hostname, http.url
Hình 19.
Hình 20.