iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 14
0
Security

資安動手做系列 第 14

Security Onion

  • 分享至 

  • xImage
  •  

看到隔壁先進今年的鐵人寫的文章,去年時有小研究一下
https://ithelp.ithome.com.tw/users/20084806/ironman/1986
https://ithelp.ithome.com.tw/upload/images/20181020/20077752zKxg3pRJIJ.jpg
電子書連結: https://the-eye.eu/public/Books/HumbleBundle/practiceofnetworksecuritymonitoring.pdf

security-onion會與selks做比較,兩個目前都走到用Elasticsearch當搜尋平台 (目前觀察下來Monitor相關的資料平台都嘗試採用ES,是可以好好研究的課題。 security-onion學習資源比較多,Sam Bowne去年有開課,可以參考一下https://samsclass.info/50/50_F17.shtml

在還沒搭自己環境手癢想玩一下的話可以先到Cisco點Free Trial第二章試試
https://learningnetworkstore.cisco.com/ccna-cyber-ops/implementing-cisco-cybersecurity-operations-secops-v1-0-elt-secops-v1-0-020709

下面是我的操作過程

  1. 在Security Onion 開Sguil 監控eth1
  2. 開Terminal切換至su (將封包往接口丟tcpreplay -i eth1 /opt/samples/markofu/outbound.pcap查看監控的到告警訊息
  3. 選一個訊息右鍵不放,移至wireshark
  4. 到File => Export Objexts => HTTP,選swing-mechanics.doc.exe 下載下來
  5. 執行strings swing-mechanics.doc.exe,查看內容有反向IP及註冊表執行動作
  6. 把檔案上傳至https://www.hybrid-analysis.com 分析,大部分的網站辨識此程式有問題。用ELSA分析該IP之前的log
  7. 點選mime_type(Multipurpose Internet Mail Extensions)找尋夾帶附件型態application/x-dosexec,查看之間IP通訊
  8. 點選info進到capME!,查到連接C2的動作紀錄!
  9. 點選mime_type(Multipurpose Internet Mail Extensions)找尋夾帶附件型態application/x-dosexec,查看之間IP通訊
  10. 點選info進到capME!,查到連接C2的動作紀錄!

上一篇
13. Law
下一篇
15. BCP&RM
系列文
資安動手做34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2018-10-20 20:54:04

SELKS和Security Onion現在都用 ELK Stack囉~
請問您有實際佈屬、監控的經驗分享嗎?^^

Eugene iT邦研究生 4 級 ‧ 2018-10-20 21:48:32 檢舉

目前只有在自己環境玩而已,坐等大大的分享了~

我也是在自己環境玩玩而已,所以想和大家交流一下^^
我也才剛學~算不上大大啦~

我要留言

立即登入留言