Работа 27.2.15 Исследование эксплойта вредоносного по
Используйте Kibana для изучения вредоносного ПО
В Части 1 используйте Kibana, чтобы ответить на следующие вопросы. Чтобы помочь вам начать, вам сообщают, что атака произошла в какой-то момент в январе 2017 года. Вам нужно будет указать точное время.
Сузьте временные рамки.
Вошли в Security Onion, используя имя пользователя аналитика и пароль cyberops.
Открыли Kibana (имя пользователя analytics и пароль cyberops) и установили абсолютный диапазон времени, чтобы сузить фокус до данных журнала с января 2017 года.
Рисунок 20 - Изменил время
Мы увидели график с одной записью. Чтобы просмотреть больше подробностей, нам нужно сузить отображаемый промежуток времени. Сузили временной диапазон в визуализации общего количества журналов по времени, щелкнув и перетащив, чтобы выбрать область вокруг точки данных графика. Вам может потребоваться повторить этот процесс, пока вы не увидите некоторые детали на графике.
Рисунок 21 – График активности
Мероприятие в Kibana
После сужения временного диапазона на главной панели Kibana перешли на панель данных оповещений NIDS, нажав NIDS.
Увеличили масштаб события, щелкнув и перетащив визуализацию NIDS – Alerts Over Time, чтобы еще больше сосредоточиться на временном интервале события. Поскольку событие произошло за очень короткий промежуток времени, выберите только линию графика. Увеличили масштаб.
Рисунок 22 – Приближенный график
Щелкнули первую точку на временной шкале, чтобы отфильтровать только это первое событие.
Просмотрели сведения о событиях, которые произошли в то время. Прокрутитили до конца панели мониторинга, пока не увидели раздел NIDS Alerts на странице. Оповещения упорядочены по времени. Разверните первое событие в списке, щелкнув стрелку указателя слева от временной метки.
Рисунок 23 - Сведения о событиях
Когда было обнаружено первое оповещение NIDS в Кибане? В январе 27 2017 года
Какой IP-адрес источника указан в оповещении? 172.16.4.193
Какой IP-адрес назначения указан в оповещении? 224.0.0.252
Какой порт назначения в оповещении? 5355
Введите свои ответы здесь.
Просмотреть стенограмму capME!
Щелкнули значение alert _id, чтобы перейти в CapME и просмотреть расшифровку события.
Рисунок 24 – Переход к CapME
В окне CapME! вы можете увидеть расшифровку сеанса. Она показывает транзакции между исходным компьютером (синим цветом) и пункты назначения, к которым обращается источник. В расшифровке доступно много ценной информации, включая ссылку на файл pcap, связанный с этим оповещением.
Рисунок 25 - Расшифровка сеанса
Закройте вкладку браузера CapME!.
В верхней части панели оповещений NIDS щелкните запись HTTP, расположенную под заголовком Zeek Hunting.
На панели HTTP убедитесь, что ваш абсолютный временной диапазон включает в себя период с 22:54:30.000 2017-01-27 по 22:56:00.000 2017-01-27.
Рисунок 26 - Временной диапазон
Прокрутите страницу вниз до раздела HTTP - Сайты на панели управления.
Какие веб-сайты перечислены? (рис. 27)
Рисунок 27 - Сайты
Какой из этих сайтов, скорее всего, является частью кампании по использованию уязвимостей?
Из приведенного списка наиболее подозрительным с точки зрения использования уязвимостей может быть сайт tyu.benme.com. Он не выглядит как известный и авторитетный ресурс, в отличие от таких сайтов, как www.google-analytics.com или www.bing.com, которые принадлежат крупным и проверенным компаниям.
Какой тип контента запрашивается исходным хостом с tybenme.com? Почему это может быть проблемой? Посмотрите также в блоке сервера DST транскрипта. (рис. 28 )
Рисунок 28 - Ответ на вопрос