Threat hunting w praktyce

Threat hunting w praktyce

Reagowanie na potencjalne zagrożenie – Threat hunting w praktyce

Reagowanie na potencjalne zagrożenie to kluczowy etap threat huntingu. Zobacz jak wygląda threat hunting w praktyce. Oto kroki, jak zareagować w sytuacji, gdy podejrzewasz obecność zagrożenia:

Identyfikacja zagrożenia

Pierwszym krokiem jest identyfikacja potencjalnego zagrożenia. Może to być nietypowe zachowanie systemu, nieoczekiwane zdarzenie czy alarm z narzędzi monitorujących.

Izolacja i odseparowanie

W przypadku pewności, że zagrożenie istnieje, należy izolować lub odseparować podejrzane elementy. To może oznaczać odłączenie zainfekowanego komputera od sieci lub wyłączenie podejrzanych procesów.

Zgłoszenie incydentu

Niezwłocznie należy zgłosić potencjalny incydent odpowiednim służbom ds. bezpieczeństwa w organizacji. To może być zespół ds. bezpieczeństwa informacji lub odpowiedni dział IT.

Dokumentacja zdarzenia

Warto dokładnie udokumentować wszystkie informacje dotyczące potencjalnego zagrożenia. To obejmuje datę, godzinę, źródło incydentu, opis podejrzanej aktywności oraz wszelkie dostępne dane z monitoringu.

Analiza i wyizolowanie źródła

Na tym etapie należy przeprowadzić głębszą analizę źródła zagrożenia. Czy jest to złośliwe oprogramowanie, podejrzany plik czy atak sieciowy? Trzeba wyizolowć źródło, jeśli to możliwe, i przeprowadzic analizę, jakie działania zostały podjęte.

Ocena szkód

Ocenić, jakie potencjalne szkody mogą wyniknąć z zagrożenia. Czy dane zostały naruszone, czy systemy zostały uszkodzone? To pomoże w określeniu skali incydentu.

Reagowanie i rozprzestrzenianie informacji

W oparciu o analizę zagrożenia, podjęcie działań w celu zneutralizowania incydentu. Jednocześnie ważne jest rozprzestrzenianie informacji na temat zagrożenia w organizacji, aby inni pracownicy byli świadomi sytuacji i mogli podjąć odpowiednie kroki ostrożności.

Przywracanie normalnego funkcjonowania

Po usunięciu zagrożenia nalezy przeprowadzić proces przywracania normalnego funkcjonowania systemów. Ważne jet aby upewnić się, że wszelkie błędy lub uszkodzenia zostały naprawione.

Analiza incydentu

Po zakończeniu incydentu trzena przeprowadzić dokładną analizę całego procesu reagowania. To pomoże w zrozumieniu, jakie kroki były skuteczne a które można poprawić, aby lepiej przygotować się na przyszłe zagrożenia.

Dokumentacja i raportowanie

Na konieć należy zapisać wszystkie informacje dotyczące reakcji na incydent, w tym działania podjęte, wyniki analizy i środki zaradcze. Nie mozna również zapominać o raportowaniu incydentu wewnętrznym zespołom oraz instytucjom odpowiedzialnym za cyberbezpieczeństwo.

Powyższy krok po kroku pomaga zorganizować reakcję na potencjalne zagrożenie, minimalizując szkody i zwiększając zdolność organizacji do reagowania na incydenty. To kluczowa część threat huntingu, która pozwala na efektywne działanie w przypadku ataku.

 

Zapraszamy na darmowe szkolenie "Grafana dla początkujących".

Widzimy się 17 października o 13:00! . Zapisz się: https://asdevops.pl/s43/

 

Praktyczny przykład z użyciem narzędzia Wireshark

Na podstawie analizowanego pliku pcapng widać że osoba atakująca próbuje zalogować się do określonej usługi.

Threat hunting w praktyce

Na podstawie analizy widać iz tą usługą jest FTP.

Można również probowac poznać nazwę użytkownika której atakującu używal podczas prób logowania do serwisu FTP. W tym celu warto zastosować odpowiedni filtr.

Analiza wykazała jakiego username używał atakujący w celu zalogowania się do serwisu.

Warto również sprawdzić czy atakujący przypadkiem nie odniósł sukcesu w procesie logowania. Aby zidentyfikować pomyślne logowanie, należy szukać kodu stanu 230. Pomocne będzie wykorzsytanie odpowiedniego zapytania aby uzyskać potrzebną informacje.

Threat hunting w praktyce

Wchodząc głębiej widzimy jakie hasło pozwoliło atakującemu zalogować się na konto użytkownika.

Osoba atakująca może wyświetlić bieżący katalog roboczy dzieki uruchomieniu polecenia PWD. Można utworzyć filtr, aby to znaleźć, lub można użyć funkcji „find” i wyszukać ciąg „pwd” w bajtach pakietu.

Threat hunting w praktyce

Dodatkową opcją na jaką można zwrócić uwagę jest to czy atakujący przypadkiem nie załadował złośliwego pliku. Można zastosować odpowiedni filtr.

W wynikach widać plik którego użył atakujący.

Threat hunting w praktyce

W tym momencie warto również sprawdzić z którego adresu URL można pobrać backdoora, ponieważ adres URL znajduje się w złośliwym pliku. Tutaj można również skorzystać z określonego filtru.

Threat hunting w praktyce

Tutaj dokładnie widać który to adres URL

Za pomocą Wireshark można również sprawdzić jaką komendę wykonał atakujący po uzyskaniu reverseshella.Dostęp do tej powłoki odwrotnej odbywa się za pośrednictwem protokołu HTTP, więc musimy sprawdzić ten ruch.

Threat hunting w praktyce

Podsumowanie – Threat hunting w praktyce

Jak widać można uzyskać bardzo wiele ciekawych informacji w momencie gdy przyjrzymy się pakietom. Warto również wspomnieć o tym iż Wireshark to przydatne narzędzie do monitorowania i diagnostyki działań użytkowników oraz reagowania na ewentualne zagrożenia lub nieprawidłowości. Jednakże warto pamiętać o zachowaniu ostrożności oraz działaniu zgodnie z przepisami i regulacjami dotyczącymi prywatności i bezpieczeństwa w czasie analizy ruchu sieciowego.

Chcesz wiedzieć więcej na temat bezpieczeństwa? Przeczytaj nasze artykuły lub weź udział w kursach!

 

Trwa przedsprzedaż kursu "Homelab - Wejdź do IT"!

To jedyne takie szkolenie! Pierwsze na polskim rynku praktyczne szkolenie, dzięki któremu zdobędziesz wiedzę i praktykę w tworzeniu własnego homelaba! Pierwszy moduł wystartuje już 14 listopada!

Chcesz wziąć udział w szkoleniu? Zapisy na stronie: https://asdevops.pl/homelab/

 

 

 

 

Bezpłatne szkolenie "Grafana dla Początkujących"! Widzimy się 17 października o 13:00!

X