Bỏ qua

Tình huống 5: Tình huống điều tra phân tích sự cố mail outlook#

Cấp độ: Chuyên viên

Tổng quan#

Quản trị viên hệ thống nhận thấy có nhiều truy cập xác thực bất thường vào hệ thống, sau khi quan sát nhận thấy có nhiều dấu hiệu liên quan đến rò rỉ thông tin xác thực thông qua giao thức NTLM.

Quản trị viên nghi ngờ có dấu hiệu leo thang đặc quyền trong hệ thống. Với vai trò là chuyên viên điều tra sự cố, hãy tiến hành tìm hiểu nguyên nhân, cách thức mà kẻ tấn công đã truy cập vào hệ thống.

Câu hỏi#

  1. Kẻ tấn công đã tận dụng giao thức nào để khai thác?
  2. Xác định ip của kẻ tấn công và máy bị tấn công?
  3. Xác định user/password của máy bị kẻ tấn công khai thác?
  4. Bạn có xác định được tên lỗ hổng mà kẻ tấn công đã lạm dụng để thực hiện cuộc tấn công này hay không?
  5. Đưa ra các biện pháp khắc phục sự cố?

Tệp đính kèm#

  1. Event log
  2. Tệp pcap
Cập nhật lần cuối: June 23, 2023 10:11:09