Desvendar Consultas DNS Suspeitas

Introdução

Neste desafio, você assumirá o papel de um analista de segurança cibernética encarregado de investigar uma possível exfiltração de dados por meio de consultas DNS. Sua missão é analisar o tráfego de rede capturado em um arquivo pcapng para identificar todos os nomes de domínio consultados que possam revelar comunicação com servidores de comando e controle (C2).

Você utilizará o tshark, o analisador de protocolos de rede via linha de comando, para extrair os nomes de consulta DNS do arquivo de captura. O desafio exige que você filtre o tráfego DNS, extraia os nomes de consulta, organize-os em ordem alfabética, remova duplicatas e salve os resultados em um arquivo para análise posterior. Este exercício prático aprimorará suas habilidades em análise de tráfego de rede e ajudará a detectar atividades DNS suspeitas que possam indicar comportamento malicioso.

Este é um Desafio (Challenge), que difere de um Laboratório Guiado por exigir que você tente concluir a tarefa de forma independente, em vez de apenas seguir passos de aprendizado. Desafios costumam ser um pouco mais complexos. Se encontrar dificuldades, você pode discutir com o Labby ou verificar a solução. Dados históricos mostram que este é um desafio de nível iniciante com uma taxa de aprovação de 100%. Recebeu uma taxa de avaliação positiva de 93% dos alunos.

Desvendar Consultas DNS Suspeitas

Como analista de segurança cibernética, você recebeu a tarefa de investigar uma possível exfiltração de dados através de consultas DNS. Seu trabalho é analisar o tráfego de rede e identificar todos os nomes de domínio que foram consultados, o que pode revelar comunicações com servidores de comando e controle.

Tarefas

Extrair todos os nomes de consulta DNS do arquivo de captura fornecido, ordená-los alfabeticamente, remover duplicatas e salvar os resultados em um arquivo para análise.

Requisitos

Use o comando tshark para analisar o arquivo de captura de tráfego de rede localizado em /home/labex/project/capture.pcapng
Filtre o arquivo de captura para exibir apenas o tráfego DNS
Extraia apenas os nomes de consulta DNS usando o recurso de extração de campos do tshark
Ordene os resultados em ordem alfabética
Remova entradas duplicadas
Salve a lista final em /home/labex/project/domains.txt
Todas as operações devem ser realizadas utilizando uma única linha de comando (pipeline)

Exemplos

Se você extrair corretamente os nomes de consulta DNS do arquivo de captura, seu arquivo /home/labex/project/domains.txt poderá conter entradas como:

amazon.com
example.com
google.com
...

Nota: Os domínios reais no seu arquivo podem variar dependendo das consultas DNS específicas capturadas no arquivo fornecido.

Dicas

Use a opção de filtro -Y "dns" para focar apenas em pacotes do protocolo DNS
O campo do nome de consulta DNS pode ser extraído usando -T fields -e dns.qry.name
Lembre-se de que comandos Linux podem ser encadeados usando pipes (|)
Os comandos sort e uniq são úteis para organizar a saída

✨ Verificar Solução e Praticar

Resumo

Neste desafio, analisei o tráfego de rede para identificar uma possível exfiltração de dados por meio de consultas DNS usando o tshark, a versão de linha de comando do Wireshark. Extraí nomes de consulta DNS de um arquivo de captura, ordenei-os alfabeticamente, removi duplicatas e salvei os resultados em um arquivo para análise posterior, desenvolvendo habilidades práticas em análise de tráfego de rede e filtragem via linha de comando.

O desafio simulou um cenário real de segurança cibernética, onde a identificação de consultas de domínio suspeitas é fundamental para detectar comunicações de comando e controle ou tentativas de exfiltração de dados. Ao aprender a usar as capacidades de extração de campos do tshark especificamente para o tráfego DNS, adquiri uma experiência valiosa em monitoramento de segurança e forense de rede, que pode ser aplicada para identificar atividades de rede potencialmente maliciosas.