DEV Community
·
TryHackMe:峰会
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
文章描述了通过扫描文件和网络活动获取多个标志的过程。首先扫描文件并分析,获得第一个标志;然后检测到可疑网络活动,阻止与恶意IP的联系,获得第二个标志;接着创建DNS规则,阻止访问特定域名,获得第三个标志;发现攻击者禁用防火墙,创建Sigma规则应对,获得第四个标志;分析日志发现异常流量,获得第五个标志;最后识别攻击者的数据外泄行为,阻止文件创建,获得第六个标志。
🎯
关键要点
- 通过扫描文件并分析获得第一个标志。
- 检测到可疑网络活动,阻止与恶意IP的联系,获得第二个标志。
- 创建DNS规则,阻止访问特定域名,获得第三个标志。
- 发现攻击者禁用防火墙,创建Sigma规则应对,获得第四个标志。
- 分析日志发现异常流量,获得第五个标志。
- 识别攻击者的数据外泄行为,阻止文件创建,获得第六个标志。
❓
延伸问答
如何通过扫描文件获得第一个标志?
通过提交文件进行分析,生成报告后复制哈希值即可获得第一个标志。
如何检测可疑的网络活动并获得第二个标志?
检测到监听在4444端口的网络活动后,阻止与恶意IP的联系,从而获得第二个标志。
创建DNS规则的目的是什么?
创建DNS规则是为了阻止访问特定域名,从而防止与恶意资源的交互。
攻击者禁用防火墙后应该如何应对?
应创建Sigma规则以应对防火墙被禁用的情况,记录相关的注册表修改。
如何分析日志以获得第五个标志?
通过分析过去12小时的网络连接日志,发现异常流量并获得第五个标志。
如何识别攻击者的数据外泄行为?
通过查看命令日志,发现攻击者正在从受害者机器中外泄数据,并阻止文件创建以防止进一步损害。
➡️
