Tải file .pcap: https://drive.google.com/file/d/1qPO...usp=drive_link
Mô phỏng một tình huống thực tế tại Trung tâm Giám sát An ninh Mạng (SOC)
Trong bài lab này, người học sẽ đóng vai trò là một chuyên viên phân tích tại SOC. Bạn nhận được cuộc gọi từ một nhân viên nội bộ báo cáo rằng đồng nghiệp của họ đã tải về một tập tin đáng ngờ khi tìm kiếm ứng dụng Google Authenticator. Dựa trên thông tin cung cấp, bạn xác nhận hệ thống đã bị lây nhiễm và bắt đầu điều tra.
Người học sẽ được cung cấp:

• File PCAP ghi lại lưu lượng mạng liên quan đến sự cố.

• Thông tin mạng nội bộ:
  • Phạm vi mạng LAN: 10.1.17.0/24
  • Tên miền: bluemoontuesday[.]com
  • Domain Controller: 10.1.17.2 - WIN-GSH54QLW48D
  • Tên môi trường AD: BLUEMOONTUESDAY

Sau khi phân tích PCAP, bạn cần trả lời được các câu hỏi sau để hoàn thiện báo cáo sự cố:

• Địa chỉ IP của máy Windows bị nhiễm là gì?

• Địa chỉ MAC của máy bị nhiễm?

• Tên máy (hostname) của máy bị nhiễm?

• Tên tài khoản người dùng sử dụng trên máy bị nhiễm?

• Tên miền khả nghi dùng để giả mạo trang Google Authenticator?

• Địa chỉ IP của các máy chủ C2 (Command and Control) trong cuộc tấn công này?

Các có thể chia sẻ câu trả lời bên dưới phần bình luận nhé.​