TryHackMe The Crown Jewel - First Shift CTF - Полное прохождение 2026

Описание: 🐯 Первая смена в SOC не будет такой уж сложной, правда?

🧭 Ссылка на комнату: https://tryhackme.com/room/first-shif...

🐯 Задание 7: Жемчужина короны 🐯

Вы работаете в смену и видите новое оповещение от Imperium Labs — компании, находящейся под мониторингом MSSP задолго до вашего прихода в команду. Трудно сказать, на чём компания сосредоточена в первую очередь, но она имеет глобальное присутствие и, несомненно, хранит секреты, особенно те, что находятся на тщательно защищённых серверах GitLab и Jira, где хранится конфиденциальный исходный код и данные проектов.

🐯 Оповещение 🐯

Оповещение, которое вы видите, называется «Обнаружено исходящее соединение обратной оболочки» — не то, что можно увидеть каждый день. К счастью, вам удалось получить необработанные PCAP-файлы и журналы Splunk для этого события. Можете ли вы проанализировать сетевой трафик и журналы, чтобы восстановить и остановить сложную атаку, направленную на кражу данных «Коронной драгоценности»?

🐯 Вопросы к заданию: 🐯

🐓 С какого внутреннего IP-адреса было инициировано подозрительное соединение?

🐓 ​​Какое исходящее соединение было обнаружено как канал управления и контроля (C2)? (Пример ответа: 1.2.3.4:9996)
🐓 Какой MAC-адрес имитирует шлюз 10.10.10.1?

🐓 Какой нестандартный User-Agent используется для обращения к экземпляру Jira?

🐓 Сколько атак с подменой ARP было обнаружено в PCAP-файле?

🐓 ​​Какая полезная нагрузка содержит учетные данные в открытом виде, найденные в POST-запросе?

🐓 ​​Какой домен, принадлежащий злоумышленнику, использовался для утечки данных?

🐓 После анализа логов, какой протокол использовался для утечки данных?

⚠️ Только для образовательных целей
Этот контент предназначен только для образовательных целей и авторизованного тестирования на проникновение. Всегда проверяйте наличие разрешения перед тестированием на любых системах.

Не забудьте поставить 👍 ЛАЙК и 🔔 ПОДПИСАТЬСЯ, чтобы получать больше уроков по кибербезопасности!

#tryhackme