Security+

Bank Question

• Scenario :

You are a security operations analyst for a banking institution. Your main job function is to compare current, high-fidelity threat intelligence feeds to activity occurring on the bank’s web server and customer relationship management (CRM) server.

• Instructions :

Click on each threat intelligence feed and console connection to:

  • Review the appropriate threat intelligence feed

  • Determine if your servers are targeted

  • Remediate any compromise by stopping only the process connecting to bad hosts and removing the associated file.

  • Type help to view a list of available commands for each console.

  • If at any time you would like to bring back the initial state of the simulation

يرجى فتح السؤال على الكمبيوتر

شرح الحل

سيناريو التدريب: الاستجابة للحوادث السيبرانية واحتواء التهديدات

كمحلل عمليات أمن سيبراني (SOC Analyst) في مؤسسة بنكية، ظهر أمامك تنبيه باتصال خبيث من الـ IP 110.12.213.189 يستهدف خوادمك (Web و CRM) لزرع أبواب خلفية (Backdoors). مهمتك هي قطع الاتصال، تحييد الخطر، وتنظيف الخوادم.

خطوات الحل العملي:


الخطوة الأولى:
رصد الهجوم وتحديد العملية netstat -o أو lsof


استخدم هذا الأمر لاستعراض الاتصالات النشطة، وابحث عن عنوان الـ IP الخبيث لاستخراج رقم العملية المرتبط به (PID). هذا الرقم (مثل 2207 أو 3039) هو خيطك الأول لإسقاط المهاجم.

الخطوة الثانية: إنهاء الاتصال وطرد المخترق kill -9 <PID>


بمجرد تحديد الـ PID، استخدم هذا الأمر لإنهاء العملية إجبارياً وبشكل فوري (بفضل المعامل -9)، مما يطرد المخترق ويمنعه من تسريب البيانات.

الخطوة الثالثة: إيقاف الباب الخلفي service <name> stop


قم بإيقاف الخدمة الخبيثة التي تعمل في الخلفية (مثل screensavr أو vncSrv)، وذلك لسد الثغرة ومنع المخترق من استعادة السيطرة (Persistence).


الخطوة الرابعة:
فحص مساحة العمل ls -l


اعرض محتويات المجلد بالتفصيل للبحث عن الملف التنفيذي المشبوه الذي استخدمه المهاجم كأداة لاختراق النظام وتثبيت الباب الخلفي.


الخطوة الخامسة:
الاستئصال الشامل rm <name>


احذف الملف الخبيث نهائياً من نظام الملفات لتطهير الخادم بالكامل، مما يضمن عدم إعادة تشغيله مستقبلاً وعودة النظام لحالته الآمنة.

لديك سؤال؟

انضم لجروب سيبراني واطرح استفسارك