建站公司 转型经验,福州专业网站建设价格,襄阳网站制作公司有哪些,物流网站开发公司题干#xff1a;
我们的入侵检测系统#xff08;IDS#xff09;已发出警报#xff0c;指示涉及使用PsExec的可疑横向移动活动。为了有效响应此事件#xff0c;您作为 SOC 分析师的角色是分析存储在 PCAP 文件中的捕获网络流量。
攻击者首次攻击成功的计算机源网络IP地址…题干
我们的入侵检测系统IDS已发出警报指示涉及使用PsExec的可疑横向移动活动。为了有效响应此事件您作为 SOC 分析师的角色是分析存储在 PCAP 文件中的捕获网络流量。
攻击者首次攻击成功的计算机源网络IP地址是什么
按照时间排序后我们只需要关注第一个成功的案件如上如所示而后往后翻即可获取网络源IP地址 往后翻可以看到success说明这里是命中的 10.0.0.130 流量名中 2023-10-11T07:42:08.877994Z
攻击者首次攻击的计算机名是什么
这里找到了第一条攻击成功的流量所以计算机名字也在这条流量里 Sales-PC
攻击者用于身份验证的用户名是什么
承接上题
攻击者在受害目标机器上使用的恶意文件名字是什么
其实题干已经提示过使用的psexec所以我们直接往这里靠就行但是我们的目的并不是为了做题而是为了学习流量分析所以这里我使用过滤files来看他到底上传了什么 答案显而易见 psexesvc
攻击者使用哪个网络共享在目标计算机上安装服务
承接上题人问的其实是攻击者上传psexec这个服务使用的网络共享是什么所以答案也就有了 ADMIN$
攻击者利用的网络共享通信的名字是什么
这里面其实直接过滤映射就可以 这里面只有两种一个是ADMIN$ 一个是 IPC$ 至于为什么是IPC$我个人理解为他的共享类型一个是磁盘一个是共享网络类型因为这个题目比较新现在看不到别人解答所以笔者也存在一定的疑惑
攻击者试图横向的计算机名称是什么
这里依然按照第一题的解题思路找第二个爆破成功的用户笔者发现下一个success如下 所以题目答案为 Marketing
笔者一开始使用wireshark进行答题但是题目虽然蒙出来了但是自己真的是一脸懵逼并不知道答案怎么出来的后来想起这款工具大家自行下载 github.com/brimdata/zui1
