DEV Community
·
TryHackMe: Zeek 练习
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
文章讨论了网络安全事件调查,包括异常DNS活动、网络钓鱼和Log4J漏洞利用。通过分析PCAP文件和日志,提取DNS记录、连接时长、可疑源地址和恶意文件名,以验证警报的真实性。
🎯
关键要点
- 异常DNS活动警报被触发,需要检查PCAP文件以确认警报的真实性。
- 分析dns-tunneling.pcap和dns.log文件,获取与IPv6地址相关的DNS记录数量。
- 检查conn.log文件,找出最长的连接持续时间。
- 过滤dns.log文件中的唯一DNS查询,计算唯一域查询的数量。
- 发现大量DNS查询发送到同一域,调查源主机的IP地址。
- 网络钓鱼警报被触发,需要检查PCAP文件以确认警报的真实性。
- 调查日志以找出可疑的源地址,并将其转换为无害格式。
- 检查http.log文件,找出恶意文件下载的域地址,并将其转换为无害格式。
- 在VirusTotal中调查恶意文档,获取与恶意文档相关的文件类型。
- 调查提取的恶意.exe文件,在VirusTotal中查找给定的文件名。
- 在VirusTotal中调查恶意.exe文件,找出联系的域名,并将其转换为无害格式。
- 检查http.log文件,获取下载的恶意.exe文件的请求名称。
- Log4J漏洞利用警报被触发,需要检查PCAP文件以确认警报的真实性。
- 调查log4shell.pcapng文件,获取签名命中的数量。
- 检查http.log文件,找出用于扫描的工具。
- 检查http.log文件,找出漏洞文件的扩展名。
- 调查log4j.log文件,解码base64命令,找出创建的文件名。
❓
延伸问答
如何确认异常DNS活动的警报是否真实?
需要检查PCAP文件和相关日志,提取DNS记录和连接信息以验证警报的真实性。
在分析dns-tunneling.pcap文件时,如何获取与IPv6地址相关的DNS记录数量?
可以使用命令 'cat dns.log | grep AAAA | wc -l' 来获取与IPv6地址相关的DNS记录数量。
如何识别网络钓鱼攻击的可疑源地址?
通过分析PCAP文件和conn.log,提取唯一的源IP地址并进行格式转换。
Log4J漏洞利用的警报如何确认?
需要检查log4shell.pcapng文件,运行检测脚本并查看signature.log中的签名命中数量。
如何在VirusTotal中调查恶意文档?
获取恶意文档的MD5哈希并在VirusTotal中进行搜索,以获取相关文件类型信息。
在http.log文件中,如何找到下载的恶意.exe文件的请求名称?
可以使用命令 'cat http.log | zeek-cut uri' 来获取下载的恶意.exe文件的请求名称。
➡️
