시큐리티어니언
- IP 확인 필수
Kali에서 Ping 확인
- ssh admin@192.168.x.x
- yes
- password 넣어주기
명령어 몇가지 알고 있기
kali
wget pcap 압축 파일
unzip
Splunk
- stream:http >> web 접속 로그 추정
- sysmon : sysmon 로그
- fgt_utm : 포티게이트 방화벽 로그
- stearm : dns : dns 쿼리 로그
- stearm : tcp
New Search
1번 문제
index="botsv1" earliest = 0 sourcetype ="suricata" CVE-*
- alert.action
- alert.category
5. imreallynotbatman.com 에 대해 무차별 암호 대입 공격을 시도할 가능성이 있는 IP 주소는 무엇입니까 ?
URL 기반 :특정 주소에서 특정 아이디를 대상으로 비번이 바뀌는 경우 >> login
소스
최소 못해도 100건 이상의 트래픽 발생
src_header : Request
debup src_content | table src_content,_time
8. imreallynotbatman.com 을 실행하는 콘텐츠 관리 시스템에 대한 관리자 액세스의 올바른 비밀번호는 무엇입니까 ?
- WEB 기반 흔적, POST Method, username=admin
- index="botsv1" earliest = 0 sourcetype ="stream:http" imreallynotbatman.com src_content="*user*" POST http_user_agent="py*" | dedup http_user_agent | table src_content,_time,src_ip,dest_ip
- 로그인의 성공 타켓의 도메인 베트맨 닷컴 바디영역에서 user 필드를 로그인이 정상적으로 되면 POST 메서드가 나옴 user_agent="Mo*" 중복제거를 했고 목적지 IP 비밀번호는 batman
9. 무차별 대입 시도에서 얼마나 많은 고유 암호가 시도되었습니까?
- index="botsv1" earliest = 0 sourcetype ="stream:http" imreallynotbatman.com src_content="*user*pass*" POST http_user_agent="py*"
- Total 412, Fail 411번
10. 올바른 비밀번호를 찾은 후 공격자가 관리자 패널에 로그인하는 데 사용한 IP는 무엇입니까?
- index="botsv1" earliest = 0 sourcetype ="stream:http" imreallynotbatman.com src_content="*user*pass*" POST http_user_agent="Mo*" |dedup http_user_agent | table src_content,_time,src_ip,dest_ip 40.80.148.42
11. Sysmon은 생성되는 프로세스의 Hash 값도 수집합니다. 프로그램 3791.exe의 MD5 HASH는 무엇입니까?
Sysmon 개요
- 기본으로 설치 되어있지 않고 설치하여야 하며
- 선택적으로 각 연결의 원본 프로세스,IP 주소, 포트번호, 호스트 이름 및 포트 이름을 포함하여 네트워크 연결을 기록합니다.
13. imreallynotbatman.com 웹사이트를 훼손한 파일의 이름은 무엇입니까?
파일 이름 : poisonivy-is-coming-for-you-batman.jpeg
악성 파일이 업로드 되었다 or Import(Link)
업로드: POST, BoardName upload
>> 공격자가 권한이 없을때 업로드 방식
관리자 권한이 있을때 기존 업로드 파일 바꿔치기 방식이 존재(정상)
DNS 질의를 통해 악성 도메인
prankglassinebracket.jumpingcrab.com
����2\nExif 사진 파일의 의미
15. 이 공격은 동적 DNS를 사용하여 악성 IP를 확인합니다. 이 공격과 관련된 FQDN(정규화된 도메인 이름)은 무엇입니까?
index="botsv1" earliest = 0 sourcetype="dns" 23.22.63.114
prankglassinebracket.jumpingcrab.com