SachaKCyberprojects/Incident-response-simulation

项目4 — 事件响应模拟 PacketMaze — 网络取证调查 概述 作为CyberDefenders PacketMaze挑战的一部分，对一个数据包捕获文件进行了网络取证调查。使用Wireshark分析网络流量，识别入侵指标，追踪攻击者活动，并将发现记录在正式的NIST事件响应报告中。 使用的工具 Wireshark — 数据包捕获分析 FTP-Data流分析 TLS握手检查 EXIF元数据提取 通过macvendors.com进行MAC地址查找 NIST事件响应报告 阶段1：准备 分析师：Sacha K 日期：2026年5月 平台：CyberDefenders — PacketMaze挑战 分析文件：PacketMaze.pcapng 框架：NIST SP 800-61事件响应框架 阶段2：检测与分析 事件摘要 分析了一个网络数据包捕获，发现了一起涉及非法FTP服务器、被盗财务数据以及通过ProtonMail进行可疑加密通信的数据泄露事件。 网络概述 受害机器：192.168.1.26 — MAC地址 c8:09:a8:57:47:93 Intel 非法FTP服务器：192.168.1.20 — MAC地址 08:00:27:a6:1f:86 美国注册的虚拟机 DNS服务器：192.168.1.1 — IPv6地址 fe80::c80b:adff:feaa:1db7 外部IP 1：173.223.18.66 外部IP 2：24.39.217.246 — 接收到10个UDP数据包 关键发现 发现1 — 发现非法FTP服务器 在192.168.1.20上发现了一个非法FTP服务器，其横幅显示"Welcome to Hacker FTP Service"，确认了其恶意意图。该服务器运行在虚拟机内部，表明攻击者进行了蓄意设置。 发现2 — FTP凭据明文暴露 FTP凭据以未加密的明文形式传输并被捕获。 用户名：Kali 密码：AfricaCTF2021 这凸显了使用FTP的重大安全风险，它传输的所有数据（包括凭据）均未加密。 发现3 — 数据泄露已确认 攻击者使用CWD命令导航到Documents文件夹，并通过FTP RETR命令下载了包含财务账户数据的accountNum.zip文件。下载前，攻击者使用MDTM命令检查了文件的修改时间，表明其事先知晓该文件。 发现4 — 可疑文件上传 通过STOR命令向非法FTP服务器上传了多个JPEG文件。文件以二进制模式传输，来源于LG Electronics LM-Q725K移动设备，表明攻击者在攻击期间使用了手机。 发现5 — 创建了非标准文件夹 4月20日17:53，在FTP服务器上创建了一个名为ftp的非标准文件夹，表明攻击基础设施的准备。 发现6 — 检测到ProtonMail通信 识别出一个到protonmail.com的TLS 1.3连接，表明攻击者在攻击期间使用了加密邮件进行通信。 客户端随机数：24e92513b97a0348f733d16996929a79be21b0b1400cd7e2862a732ce7775b70 发现7 — 外部连接 向外部IP 24.39.217.246发送了10个UDP数据包 与173.223.18.66建立了连接 — FIN ACK会话完成 访问了URL http://dfir.science/ 并解析到104.21.89.171 发现8 — TLS检查 从会话 da4a0000342e4b73459d7360b4bea971cc303ac18d29b99067e46d16cc07f4ff 提取了TLS临时公钥 公钥：04edcc123af7b13e90ce101a31c2f996f471a7c8f48a1b81d765085f548059a550f3f4f62ca1f0e8f74d727053074a37bceb2cbdc7ce2a8994dcd76dd6834eefc5438c3b6da929321f3a1366bd14c877cc83e5d0731b7f80a6b80916efd4a23a4d 阶段3：遏制 建议措施： 立即将192.168.1.20从网络中隔离 在防火墙上阻止外部IP 173.223.18.66和24.39.217.246 在所有系统上禁用FTP服务 重置所有可能已泄露的凭据 如果非业务必需，阻止ProtonMail 阶段4：根除 建议措施： 从192.168.1.20上移除非法FTP服务器软件 删除非标准ftp文件夹及任何已上传的JPEG文件 扫描所有系统是否存在恶意软件或后门 审计所有用户账户是否有未授权的更改 将任何合法的文件传输需求中的FTP替换为SFTP或FTPS 阶段5：恢复 建议措施： 从干净备份中恢复accountNum.zip数据 通知受影响客户潜在的财务数据泄露 实施网络分段以防止横向移动 部署SIEM告警，监控FTP使用和大规模数据传输 在完成全面安全验证后重新启用系统 阶段6：经验教训 绝不应使用FTP传输敏感数据 — 应替换为SFTP或FTPS 网络监控应对非法服务器和明文凭据发出告警 出站过滤应阻止未经授权的外部连接 包括手机在内的员工设备不应有权访问敏感服务器 应监控ProtonMail和其他加密服务的策略合规性 应定期进行网络流量分析以检测异常 攻击时间线 4月20日17:53 — 在非法服务器上创建了非标准ftp文件夹 攻击者连接到192.168.1.20上的非法FTP服务器 凭据以明文传输 — Kali/AfricaCTF2021 攻击者导航到Documents文件夹 使用MDTM命令检查accountNum.zip的修改时间 从LG移动设备上传了多个JPEG文件 通过RETR下载了accountNum.zip — 数据泄露已确认 建立了ProtonMail TLS连接 向外部IP 24.39.217.246发送了10个UDP数据包 FTP会话未发送QUIT命令即终止 展示的技能 使用Wireshark进行网络数据包分析 FTP流量调查与凭据提取 TLS握手分析与密钥提取 EXIF元数据检查 MAC地址调查 DNS流量分析 NIST SP 800-61事件响应框架 正式事件报告撰写 下一个项目 额外项目 — ELK SIEM部署

标签：CyberDefenders, DAST, EXIF元数据, FTP分析, MAC地址查找, NIST事件响应, PacketMaze挑战, StruQ, TLS分析, Wireshark, 入侵指标, 凭据泄露, 句柄查看, 恶意服务器识别, 恶意软件分析, 攻击活动追踪, 数字取证, 数据外泄检测, 网络安全, 网络流量分析, 自动化脚本, 虚拟机安全, 隐私保护