Learn Brim with WarZone 2 – Write-Up – THM

You received another IDS/IPS alert. Time to triage the alert to determine if its a true positive. 

 

Warzone 2 de TryHackMe pour apprendre l’analyse de trafic réseau avec Brim 

Question 1
Question 2
Question 3
Question 4
Question 5
Question 6
Question 7
Question 8
Question 9
Question 10

Question 1

  • What was the alert signature for A Network Trojan was Detected? 

Réponse : ET MALWARE Likely Evil EXE download from MSXMLHTTP non-exe extension M2

En bas à gauche, cliquer sur Suricata Alerts by Catergory puis cliquer droit et prendre new Search with this value sur « A Network Trojan was dectected »

On trouve la réponse dans la colonne alert.signature

Question 2

  • What was the alert signature for Potential Corporate Privacy Violation?

Réponse : ET POLICY PE EXE or DLL Windows file download HTTP

Il faut faire les mêmes manipulations que pour la précédente réponse et prendre le choix « Potential Corporate Privacy Violation » dans les queries Suricata.

Question 3

  • What was the IP to trigger either alert? Enter your answer in a defanged format ?

Réponse : 185[.]118[.]164[.]8

A partir du résultat de la 1ier ou 2ième réponse, il faut récupérer l’adresse IP. 

Question 4

  • Provide the full URI for the malicious downloaded file. In your answer, defang the URI. 

Réponse : awh93dhkylps5ulnq-be[.]com/czwih/fxla[.]php?l=gap1[.]cab

À partir de la 1ier ou 2ᵉ réponse, faire un filtre en passant le curseur sur l’adresse IP, clic droit « New Search With This Value ».

Pour copier/coller l’URI, il faut faire un nouveau filtre avec la valeur ou afficher les détails.

Question 5

  • What is the name of the payload within the cab file? 

Réponse : draw.dll

Il faut d’abord extraire le fichier cab avec Wireshark. Dans File/Exports Objects/http. C’est le paquet 415. Une fois exporté, on peut récupérer le nom : fxla.php%3fl=gap1.cab

Ensuite, il faut l’uploader dans virustotal a cette adresse https://www.virustotal.com/gui/home/search

Question 6

  • What is the user-agent associated with this network traffic?
 

Réponse : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/8.0; .NET4.0C; .NET4.0E)

Il faut reprendre le même filtre que la question 4 avec l’adresse IP dans la colonne http, on trouve le user-agent

Question 7

  • What other domains do you see in the network traffic that are labelled as malicious by VirusTotal? Enter the domains defanged and in alphabetical order. (format: domain[.]zzz,domain[.]zzz)

Reponse : a-zcorner[.]com,knockoutlights[.]com

Avec le filtre HTTP, on peut voir de nombreuses requêtes sur ses deux domaines qui pointent vers des URI suspectes ( /api.aspx ?dx11diag=  et  rpc/aspx ?winrm )

Question 8

  • There are IP addresses flagged as Not Suspicious Traffic. What are the IP addresses? Enter your answer in numerical order and defanged. (format: IPADDR,IPADDR)

 

Reponse : 64[.]225[.]65[.]166,142[.]93[.]211[.]176

 

À nouveau dans les queries par défaut en bas à gauche, prendre Suricata Alerts by Catergory puis clic droit sur Not Suspicious traffic et New search with this value.

On trouver les deux adresses IP en bas de la liste.

Question 9

  • For the first IP address flagged as Not Suspicious Traffic. According to VirusTotal, there are several domains associated with this one IP address that was flagged as malicious. What were the domains you spotted in the network traffic associated with this IP address? Enter your answer in a defanged format. Enter your answer in alphabetical order, in a defanged format. (format: domain[.]zzz,domain[.]zzz,etc)

Réponse : safebanktest[.]top, tocsicambar[.]xyz, ulcertification[.]xyz

À partir de virustotal, il faut faire une recherche sur la 1ier adresse IP . Dans l’onglet relations, on trouve les domaines malveillant.

On peut les récupérer en appliquant un filtre avec l’adresse IP et DNS.

Filtre : 64.225.65.166 _path== »dns »

Question 10

  • Now for the second IP marked as Not Suspicious Traffic. What was the domain you spotted in the network traffic associated with this IP address? Enter your answer in a defanged format. (format: domain[.]zzz)

 

Réponse : 2partscow[.]top

Même manipulation que pour la réponse précédente… sauf qu’il faut faire défiler les choix dans passive DNS

Link Virustotal

Brim

Filtre : 142.93.211.176 _path== »dns »

That’s all folks

Merci d’avoir pris la peine de venir sur le site de lire ce Write Up

J’espère qu’il vous a plus et qu’il vous apprit des nouvelles choses.

N’hésitez pas à laisse un commentaire ou à partager cet article. 

Facebook
Twitter
LinkedIn
Pinterest
Charger plus