Wireshark Analysis
تفاصيل العمل
تقرير تحليل حزمة بيانات باستخدام Wireshark – LAB1
المهمة 1: تحديد المهاجم والخدمة المستهدفة في الهجوم
تم استخدام Wireshark لتحليل الحزمة case001.pcap لتحديد المهاجم والخدمة التي تعرضت لهجوم Brute Force.
تحليل الإحصائيات لتحديد الجهاز المستهدف:
تم استخدام المسار:
Statistics >> IPv4 Statistics >> Destinations and Ports
العنوان IP الأكثر استقبالًا للحزم هو: 10.42.85.10.
المنفذ المستهدف: 3389 (RDP - Remote Desktop Protocol).
العدد الإجمالي للحزم المستلمة: 128,282 حزمة.
هذا يشير إلى أن الجهاز المستهدف تعرض لهجوم Brute Force على بروتوكول RDP.
تحديد عنوان IP الخاص بالمهاجم:
بعد تطبيق الفلتر بناءً على IP الضحية والمنفذ 3389، تم تحديد IP المهاجم بأنه: 194.61.24.102.
عدد الحزم المرسلة من المهاجم: 128,282 حزمة.
المهمة 2: تحديد SHA256 للملف الضار الذي تم تسليمه بواسطة المهاجم
تحديد رابط التحميل للبرمجية الخبيثة:
تم تطبيق الفلتر التالي في Wireshark:
http and ip.src==10.42.85.10 and tcp.len>0
تم اكتشاف رابط تحميل الملف الضار:
استخراج الملف الضار وتحليل بصمته الرقمية:
تم استخراج الملف عبر Wireshark من خلال:
File > Export Objects > HTTP
تم تحميل الملف وتشغيله على VirusTotal لتحديد SHA256 Hash.
بصمة SHA256 للملف الضار:
10f3b92002bb98467334161cf85d0b1730851f9256f83c27db125e9a0c1cfda6
النتائج والتوصيات
تم تأكيد أن الجهاز المستهدف تعرض لهجوم Brute Force على منفذ RDP (3389).
تم تحديد عنوان المهاجم (194.61.24.102)، وهو أيضًا مصدر الملف الضار.
تم تحديد رابط التحميل للبرمجية الخبيثة وتوليد بصمة SHA256 للتحقق من هويتها.
التوصيات الأمنية:
إغلاق منفذ RDP (3389) أو تقييد الوصول إليه باستخدام VPN أو قوائم التحكم في الوصول (ACLs).
تفعيل ميزة الحماية ضد الهجمات على RDP مثل تقييد عدد محاولات تسجيل الدخول الفاشلة.
استخدام المصادقة الثنائية (MFA) لحماية جلسات RDP.
تحليل الملف الضار بشكل أعمق لتحديد تأثيره واتخاذ الإجراءات المناسبة لمنعه في المستقبل.
إضافة بصمة SHA256 للملف الضار إلى قواعد بيانات الحلول الأمنية لمنع تشغيله داخل الشبكة.