Scribd
Upload
161 views5 pages

CyberOps Skills Assessment

Uploaded by

田中太郎
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
161 views5 pages

CyberOps Skills Assessment

Uploaded by

田中太郎
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
You are on page 1/ 5

CCNA Cybersecurity Operations

Open University - Skills Assessment


Introduction
Working as the security analyst for ACME, you notice a number of events on the SGUIL dashboard.
Your task is to analyze these events, learn more about them, and decide if they indicate malicious
activity. Some of the tools used, may not have been covered within your course … an essential part of
the forensic challenge is to investigate, explore and work with unexpected tools and scenarios as part
of any investigation. You are therefore expected to ‘discover’ how these tools support your work and
present sufficient reportable contemporaneous evidence.

You will have access to the Internet to discover more about the events. Security Onion is the only VM
with Internet access in the Cybersecurity Operations virtual environment. You may use any reasonable
research method at your disposal. The tasks set out in this assessment are designed to provide some
guidance through the analysis process.

You will practice and be assessed on the following skills:


o Evaluating Snort/SGUIL events.
o Using SGUIL as a pivot to launch ELSA, Bro and Wireshark for detailed event
inspection.
o Using independent research to obtain intelligence on a potential exploit.

Content for this assessment was obtained from http://www.malware-traffic-analysis.net/ by Cisco for the
Open University and is used with permission.

For each stage of this assessment, you must provide evidence - this may be a copy/paste of
file/log information, a screenshot and a short single sentence explanation of how you find the evidence.
You will decide what evidence is appropriate.

Addressing Table
The following addresses are preconfigured on the network devices. Addresses are provided for
reference purposes:

Device Interface Network/Address Description

eth0 192.168.0.1/24 Interface connected to the Internal Network


Security Onion VM eth2 209.165.201.21/24 Interface connected to the External
Networks/Internet

© Cisco and/or its affiliates. All rights reserved. This document is Cisco Public - with modifications from Open University Page 1 of 5
Skills Assessment Open University - CCNA Cybersecurity Operations

Gathering Basic Information


1. Log into Security Onion VM (saved in the same location as this document) with username analyst and
password cyberops.
2. Open a terminal window. Enter the sudo service nsm status command to verify that all the services and
sensors are ready.
3. When the nsm service is ready, log into SGUIL with the username analyst and password cyberops.
Click Select All to monitor all the networks. Click Start SQUIL to continue.
4. In the SGUIL window, identify the group of events that are associated with exploit(s). This group of events
are related to a single multi-part exploit. How many events were generated by the entire exploit?
悪用されるイベントは、25 グループのうち 15 イベントです。
5. According to SGUIL, when did the exploit begin? When did it end? Approximately how long did it take?
エクスプロイトは 2017 年 9 月 7 日 15:31:12 に始まり、2017 年 9 月 7 日 15:31:34 に終了します。した
がって、時間間隔は 22 秒しか続きません。
What is the IP address of the internal computer involved in the events?
イベントに関係する内部 IP アドレスは 192.168.0.12 です。

6. What is the MAC address of the internal computer involved in the events? How did you find it?
MAC アドレス 00:1b:21:ca:fe:d7 Wireshark を使用
7. What are some of the Source IDs of the rules that fire when the exploit occurs? Where are the Source IDs
from?
複数のソース ID と新しい脅威の Web サイ
ト: 93.114.64.118、173.201.198.128、192.99.198.158、208.113.226.171、209.126.97.209 (209.165.200.2
35 )
8. Do the events look suspicious to you? Does it seem like the internal computer was infected or
compromised? Briefly explain.
はい、このイベントは疑わしいように見えますが、実際には内部の妥協が行われています。Flash プラグイ
ンの警告の有効期限が切れており、Angler EK の警告は、悪用または侵害の可能性を示す強力な証拠です。
What is the operating system running on the internal computer in question?

ウィンドウベースの OS

© Cisco and/or its affiliates. All rights reserved. This document is Cisco Public - with modifications from Open University Page 2 of 5
Skills Assessment Open University - CCNA Cybersecurity Operations

Learn About the Exploit


9. According to Snort, what is the exploit kit (EK) in use?
アングラー EK
10. What is an exploit kit?
https://en.wikipedia.org/wiki/Exploit_kit 
11. Do a quick Google search on ‘Angler EK’ to learn a little about the fundamentals the exploit kit.
Summarize your findings and record them here.
1. 攻撃者が多数のトラフィックの多いサイトを侵害し、悪意のあるコードを挿入する
2. ユーザーが侵害されたサイトにアクセスし、ブラウザが悪意を持って挿入されたコードを実行する
3. 悪意のあるコードが被害者のシステムをスキャンし、潜在的な脆弱性を探す
4. 情報インストールされているプラグインとバージョン、OS、Web ブラウザの名前とバージョンなどは、
多くの場合、暗号化された HTTP POST を介して、悪意のあるサーバーにフィルターされます。
5. 悪意のあるサーバーは、盗み出したデータに基づいて、カスタマイズされたエクスプロイト パッケージ
を準備し、それを被害者のブラウザに送信します。
6. エクスプロイト パッケージには、多くの場合、カスタマイズされたエクスプロイトとペイロードが含ま
れています。エクスプロイトは、被害者のシステムでコードを実行する権限を取得するために使用されます。
ペイロードは、悪用者が仕事を終えた後にのみ実行できる追加の悪意のあるコードで構成されています。
12. How does this exploit fit the definition on an exploit kit? Give examples from the events you see in SGUIL.
エクスプロイトは、侵害された Web サイトを使用してホストをスキャンし、脆弱性を見つけてから、悪意
のあるソフトウェアをダウンロードします。
13. What are the major stages in exploit kits?
1. 攻撃者は、Web サイトの訪問者が多い多数のサイトをコピーし、悪意のあるコードを挿入します。
2. ユーザーが侵害されたサイトにアクセスし、そのブラウザが挿入された危険なコードを実行する
3. 悪意のあるコードが被害者のシステムをスキャンし、脆弱性を探し、その結果を POST 経由で他の悪意
のあるサーバーに抽出する
4. 悪意のあるサーバーは、フィルタリングされたデータに基づいて、カスタマイズされたエクスプロイト
を準備する被害者のブラウザに送信します。

© Cisco and/or its affiliates. All rights reserved. This document is Cisco Public - with modifications from Open University Page 3 of 5
Skills Assessment Open University - CCNA Cybersecurity Operations

Determining the Source of the Malware


14. In the context of the events displayed by SGUIL for this exploit, record below the IP addresses involved.
192.168.0.12、93.114.64.118、173.201.198.128、192.99.198.158、208.113.226.171、192.168.0.1、209.12
6.97.209
15. The first new event displayed by SGUIL contains the message “ET Policy Outdated Flash Version M1”.
The event refers to which host? What does that event imply?
192.168.0.12; ホストは古いバージョンの Flash プラグインを使用しています。
16. According to SGUIL, what is the IP address of the host that appears to have delivered the exploit?
192.99.198.158
17. Pivoting from SGUIL, open the transcript of the transaction. What is the domain name associated with the
IP address of the host that appears to have delivered the exploit?
qwe.mvdunalterableairreport.net
18. This exploit kit typically targets vulnerabilities in which three software applications?
Adobe Flash Player、Java ランタイム環境、Microsoft Silverlight
19. Based on the SGUIL events, what vulnerability seems to have been used by the exploit kit?
古いフラッシュプラグイン

20. What is the most common file type that is related to that vulnerable software?

Adobe Flash オーサリング ファイル – FLA

アクション スクリプト ファイル – AS

フラッシュ XML ファイル – XML

コンパイル済みフラッシュ ファイル – SWF

21. Use ELSA to gather more evidence to support the hypothesis that the host you identified above delivered
the malware. Launch ELSA and list all hosts that downloaded the type of file listed above. Remember to
adjust the time frame accordingly.
Were you able to find more evidence? If so, record your findings here.
はい。1510604611.228059|CYCGVz4HyAXsgGuNV2|209.165.201.17|47144|209.165.200.235|80|1|GET|
209.165.200.235|/mutillidae/index.php?
page=userinfo.php&username='+union+select+ccid,cciration,expiration, ,null+from+credit_cards+
–+&password=&user-info-php-submitbutton=表示+アカウント+詳細|http://209.165.200.235/
mutillidae/index.php?page=userinfo.php&username=%27+union+select +ccid%2Cccnumber
%2Cccv%2Cexpiration%2Cnull+from+credit_cards+–+&password=&user-info-php-submit-
button=View+Account+Details|1.1|Mozilla/5.0 (X11; Linuxx86_64; rv:45.0) Gecko/ 20100101
Firefox/45.0|0|960|200|OK|-|-|HTTP::URI_SQLI|-|-|-|-|-|-|FvFBhF1tikxaHjaG1|-|text/html
host=127.0.0.1 program=bro_http class=BRO_HTTP srcip=209.165.201.17
srcport=47144dstip=209.165.200.235 dstport=80 status_code=200 content_length=960
method=GETsite=209.165.200.235 uri=/mutillidae/ndex.php?page=
userinfo.php&username='+union+select+ccid,ccnumber,ccv,expiration,null+from+credit_cards+–
+&password=&user-info-php-submit-button=View+Account+Detailsreferer=http://
209.165.200.235 /mutillidae/index.php?page=userinfo.php&username=%27+union+select+ccid
%2Cccnumber%2Cccv%2Cexpiration%2Cnull+from+credit_cards+–+&password=&user-info-php-

© Cisco and/or its affiliates. All rights reserved. This document is Cisco Public - with modifications from Open University Page 4 of 5
Skills Assessment Open University - CCNA Cybersecurity Operations

submit-button=View+Account +詳細 user_agent=Mozilla/5.0 (X11;Linux x86_64; rv:45.0)


Gecko/20100101 Firefox/45.0 mime_type=text/html
22. At this point you should know, with quite some level of certainty, whether the site listed discovered earlier
delivered the malware. Record your conclusions below.
内部ホストである 192.168.0.12 が感染した可能性があります。エクスプロイト キットによって発見された
フラッシュ プラグインの古いバージョンが含まれています。192.168.0.12 はその後、
qwe.mvdunalterableairreport.net から悪意のある SWF (Flash ファイル) をダウンロードするよう誘導さ
れました。

Analyze Details of the Exploit


23. Exploit kits often rely on a landing page used to scan the victim’s system for vulnerabilities and exfiltrate a
list of them. Use ELSA to determine if the exploit kit in question used a landing page. If so, what is the
URL and IP address of it? What is the evidence?

Hint: The first two SGUIL events contain many clues.


173.201.198.128
Landing page: lifeinsidetroit.com (173.201.198.128)
server script name: 02024870e4644b68814aadfbb58a75bc.php
extfiltrated data: e8bd3799338799332593b0b9caa1f426
full POST URI: POST/02024870e4644b68814aadfdbb58a75bc.php?
q=e8bd3799ee8799332593b0b9caa1f426
The second new event in SGUIL implies that the compromised site allowed 悪意のある Flash ベースの
広告が広告サイトから読み込まれる。この Flash ベースの広告は、被害者のコンピューターをスキャンし、
EK のランディング ページにデータを盗み出すように設計されています。
脆弱性情報が収集されると、Flash ベースの広告は POST 経由で、ランディング ページ
lifeinsidedetroit.com でホストされている PHP スクリプトに送信します。ランディング ページは、収集され
た情報を処理し、発見された脆弱性に従ってエクスプロイトを選択します。
その後、エクスプロイトはクライアントの Web ブラウザに配信されます。このドキュメントで前述したよう
に、被害者のコンピューターには古いバージョンの Fkash が搭載されています。
qwe.mvdunalterableairreport.net でホストされているエクスプロイトは、被害者のコンピュータに送信され
ます。エクスプロイトは、コードの実行のみを許可するように設計されていることに注意してください。エク
スプロイトには、EK 用語でペイロードとして知られるさらなるマルウェアも含まれています。ペイロードの
実行は、E のエンド ゲームです。
24. What is the domain name that delivered the exploit kit and malware payload?
qwe.mvdunalterableairreport.net

25. What is the IP address that delivered the exploit kit and malware payload?
192.99.198.158

26. Pivoting from events in SGUIL, launch Wireshark and export the files from the captured packets as was
done in a previous lab. What files or programs are you able to successfully export?
3xdz3bcxc8

© Cisco and/or its affiliates. All rights reserved. This document is Cisco Public - with modifications from Open University Page 5 of 5

You might also like