- Trang chủ >>
- Công nghệ thông tin >>
- Web
Thu thập phân tích thông tin an ninh mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (321.48 KB, 6 trang )
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
HỌC PHẦN
THU THẬP & PHÂN TÍCH THÔNG TIN AN NINH MẠNG
BÁO CÁO BÀI TẬP LỚN
PHÂN TÍCH TẤN CÔNG APT
Họ tên SV
Lớp
Mã SV
Ngày gửi
:
:
:
:
Phan Văn Đại
AT13E
AT130513
Hà Nội, 2020
MỤC LỤC
Kịch bản 1. Reconnaissance
1
Kịch bản 2. Weaponization
3
Kịch bản 3. Delivery
4
Kịch bản 4. Exploitation 4
Kịch bản 5. Installation 4
Kịch bản 6. Command & Control
Kịch bản 7. Action on Objectives
5
5
2
Kịch bản 1. Reconnaissance
- Finding the IP Scanning Your Web Server. What is the likely IP
address
of
someone
from
the
P01s0n1vy
group
scanning
imreallynotbatman.com for web application vulnerabilities?
+ Trả lời: địa chỉ IP của kẻ tấn công đã thực hiện dò quét
imreallynotbatman.com có thể là 40.80.148.42 hoặc 192.168.250.70 hoặc
23.22.63.114
- Validating the IP That is Scanning Your Web Server. What is the likely
IP address of someone from the P01s0n1vy group scanning
imreallynotbatman.com for web application vulnerabilities?
+ Trả lời: Khi tìm kiếm các log được ghi lại bởi suricata với địa chỉ nguồn là
src=40.80.148.42 thì thấy số event được sinh ra là lớn nhất (tương ứng 72,767%),
với nguồn là src=192.168.250.70 thì thấy số event được sinh ra là thấp hơn (tương
ứng 21,77 %) nên có thể dự đoán khả năng cao địa chỉ ip của máy tấn công là
40.80.148.42.
1
- Identifying The Web Vulnerability Scanner. What company created
the web vulnerability scanner used by P01s0n1vy?
+ Trả lời: Acunetix được sử dụng bởi P01s0nvy để dò quét lỗ hỏng web
- Determining Which Web Server is the Target. What content
management system is imreallynotbatman.com likely using?
+ Trả lời: joomla là máy chủ web mục tiêu. Nội dung của hệ thống quả lý
imreallynotbatman.com có thể sử dụng là trang tìm kiếm nằm trong đường dẫn
/joomla/index.php/component/search/
Kịch bản 2. Weaponization
- Using OSINT to Identify Attacker Infrastructure. What IP address has
P01s0n1vy tied to domains that are pre-staged to attack Wayne Enterprises?
+ Trả lời: Địa chỉ ip có P01s0n1vy được liên kết với tên miền được dàn dựng
trước để tấn công Wayne Enterprises là 23.22.63.114. Cơ sở hạ tầng của kẻ tấn
công được thể hiện như hình dưới đây:
- Using OSINT To Create Linkages Between Email and
Infrastructure. Based on the data gathered from this
attack and common open source intelligence sources
for domain names, what is the email address that is
most likely associated with P01s0n1vy APT group?
+ Trả lời:
- Using OSINT to Identify Attacker Infrastructure. What IP address has
P01s0n1vy tied to domains that are pre-staged to attack Wayne Enterprises?
+ Trả lời:
Kịch bản 3. Delivery
Kịch bản 4. Exploitation
Kịch bản 5. Installation
Kịch bản 6. Command & Control
Kịch bản 7. Action on Objectives
