Wireshark анализ трафика на действия злоумышленника

Анализирую трафик (pcap файл в архиве) в wireshark на действия злоумышленника, ищу ответы на несколько вопросов.

1. IP-адрес жертвы и страна:
IP-адрес жертвы - 65.76.3.30. Страна - США, Ботелл.

2. IP-адрес злоумышленника и страна:
IP-адрес злоумышленника - 65.76.3.90. Страна – США, Ботелл

3. IP-адрес, использованный злоумышленником для получения данных с хоста жертвы:
Злоумышленник использует IP-адрес 65.76.3.90 для получения данных с хоста жертвы.

4. Полное название файла, использованного злоумышленником для получения несанкционированного доступа:
/breaking_news.pdf.bat. Встречается в 177 кадре.

5. Точное имя исполняемого файла, запущенного для выполнения вредоносного кода:
/breaking_news.pdf.bat.

6. Первоначальное действие атакующего после получения доступа:
Вроде как злоумышленник получает логин и пароль, после того как пользователь вводит команду в PowerShell, разумеется после исполнения вредоносного кода с файла. Но может происходит еще что-то прежде? На этот вопрос ищу ответ, может ошибаюсь в других пунктах.

7. Логин, извлеченный злоумышленником:
A5GnyP69r22

8. Пароль, скомпрометированный злоумышленником:
CXEyeU3SLzt

9. Файл, к которому злоумышленник получил доступ в конце атаки:
TOP_SECRET.txt

Вложения

трафик pcap.rar (69.5 Кб, 2 просмотров)

0