Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • CyberOps Associates v1.0 - Avaliação de Habilidades

    Enviado por

    Luiz Henrique Silva Santos
    9 visualizações3 páginas
    CyberOps Associates v1.0 - Avaliação de habilidades

    Título original

    CyberOps Associates v1.0 - Avaliação de habilidades

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    CyberOps Associates v1.0 - Avaliação de habilidades

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    9 visualizações3 páginas

    CyberOps Associates v1.0 - Avaliação de Habilidades

    Enviado por

    Luiz Henrique Silva Santos
    CyberOps Associates v1.0 - Avaliação de habilidades

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    CyberOps Associates v1.

    0 - Avaliação de habilidades
    Introdução
    Você foi contratado como analista de segurança júnior. Como parte de seu treinamento, você foi
    encarregado de determinar qualquer atividade maliciosa associada ao cavalo de Tróia Pushdo.
    Você terá acesso à internet para saber mais sobre os eventos. Você pode usar sites, como VirusTotal, para
    carregar e verificar a existência de ameaças.
    As tarefas abaixo são projetadas para fornecer alguma orientação através do processo de análise.
    Você vai praticar e ser avaliado sobre as seguintes habilidades:
    o Avalie alertas de eventos usando Squil e Kibana.
    o Use a pesquisa do Google como uma ferramenta para obter inteligência sobre uma exploração
    potencial.
    o Use VirusTotal para carregar e verificar a existência de ameaças.
    O conteúdo para esta avaliação foi obtido em http://www.malware-traffic-analysis.net/ e é usado com
    permissão. Somos gratos pelo uso deste material.

    Recursos necessários
     Computador host com pelo menos 8 GB de RAM e 45 GB de espaço livre em disco
     Versão mais recente do Oracle VirtualBox
     A máquina virtual Security Onion requer 4 GB de RAM usando 25 GB de espaço em disco
     Acesso à Internet

    Instruções

    Parte 1: Reúna as informações básicas


    Nesta parte, você analisará os alertas listados na VM Security Onion e reunirá informações básicas para o
    período de tempo interessado.

    Etapa 1: Verifique o status dos serviços


    a. Faça login no Security Onion VM usando o analista de nome de usuário e ciberopsde senha.
    b. Abra uma janela de terminal. Digite o comando sudo so-status para verificar se todos os serviços estão
    prontos.
    c. Quando o serviço nsm estiver pronto, faça login no Sguil ou Kibana com o analista de nome de usuário
    e cyberopsde senha.

    Etapa 2: Reúna informações básicas.


    Perguntas:

    a. Identifique o período de tempo do ataque de Tróia Pushdo, incluindo a data e a hora aproximada.
    Digite suas respostas aqui.

     2020 - aa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 1 3www.netacad.c
    CyberOps Associates v1.0 - Avaliação de habilidades

    b. Liste os alertas observados durante esse período de tempo associado ao cavalo de Tróia.
    Digite suas respostas aqui.

    c. Liste os endereços IP internos e os endereços IP externos envolvidos.


    Digite suas respostas aqui.

    Parte 2: Saiba mais sobre o Exploit


    Nesta parte, você aprenderá mais sobre a exploração.

    Etapa 1: Host infectado


    Perguntas:

    a. Com base nos alertas, quais são os endereços IP e MAC do computador infectado? Com base no
    endereço MAC, qual é o fornecedor do chipset NIC? (Dica: NetworkMiner ou pesquisa na Internet)
    Digite suas respostas aqui.

    b. Com base nos alertas, quando (data e hora em UTC) e como o PC foi infectado? (Dica: Insira a data do
    comando no terminal para determinar o fuso horário da hora exibida)
    Digite suas respostas aqui.

    Como o malware infectou o PC? Use uma pesquisa na internet conforme necessário.
    Digite suas respostas aqui.

    Etapa 2: Examine a exploração.


    Perguntas:

    a. Com base nos alertas associados à solicitação HTTP GET, quais arquivos foram baixados? Liste os
    domínios maliciosos observados e os arquivos baixados.
    Digite suas respostas aqui.

    Usar alguma ferramenta disponível no Security Onion VM, determinar e gravar o hash SHA256 para os
    arquivos baixados que provavelmente infectaram o computador?
    Digite suas respostas aqui.

     2020 - aa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 2 3www.netacad.c
    CyberOps Associates v1.0 - Avaliação de habilidades

    b. Navegue até www.virustotal.com entrada o hash SHA256 para determinar se eles foram detectados
    como arquivos mal-intencionados. Registre suas descobertas, como tipo e tamanho de arquivo, outros
    nomes e máquina de destino. Você também pode incluir qualquer informação fornecida pela comunidade
    publicada no VirusTotal.
    Digite suas respostas aqui.

    c. Examine outros alertas associados ao host infectado durante esse período de tempo e registre suas
    descobertas
    Digite suas respostas aqui.

    Etapa 3: Relate suas descobertas


    Resuma suas descobertas com base nas informações coletadas das partes anteriores, resume suas
    descobertas.
    Digite suas respostas aqui.

    Fim do documento

     2020 - aa Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 3 3www.netacad.c

    Você também pode gostar