2024一带一路暨金砖国家技能发展与技术创新大赛第二届企业信息系统安全赛项选拔赛(北部赛区)
一、流量分析
1、查找有关受感染的 Windows 计算机的以下信息:(主机名:IP地址、MAC 地址)
对于第一个问题,让我们过滤 Kerberos 网络流量。
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。
要找到可能使用mind-hammer.net域登录的情况。这将使我们能够访问主机名、IP 地址和 MAC 地址,我们需要完成这个问题。幸运的是,我们能够提取这些信息,因为除了票证、身份验证器和其他一些敏感细节外,Kerberos 协议大部分都是未加密的
对于受感染的 Windows 机器的主机名,我们需要查找包含正在验证的用户名的 cname 字符串,以便对其进行过滤。
过滤器:ip.src==172.16.4.4 and kerberos.CNameString
单击数据包编号3209并转到详细信息窗格和 Kerberos > tgs-rep > cname:
现在要找到受感染机器的 IP 地址非常简单,只需目标 IP 地址:172.16.4.205
现在让我们在以太网 II下找到 MAC 地址,我们清楚地看到 MAC 地址:
账户名是:matthijs.devries
题目原题:https://systemweakness.com/wireshark-investigation-network-traffic-analysis-40047f029c79
还有些问题没有解答出来,文章后面没有提到,求大佬解决学习交流~
以后的练习网站
Malware-Traffic-Analysis.net - training exercises
https://www.malware-traffic-analysis.net/training-exercises.html
Crossing the Line: Unit 42 Wireshark Quiz for RedLine Stealer
https://unit42.paloaltonetworks.com/wireshark-quiz-redline-stealer/