Bob Smith's workstation (we8105desk) was connected to a file server during the ransomware outbreak. What is the IPv4 address of the file server?
Bob Smith의 워크스테이션(we8105desk)은 랜섬웨어가 발생하는 동안 파일 서버에 연결되었습니다. 파일 서버의 IPv4 주소는 무엇입니까?
파일 서버 연결 = SMB, AFP, NFS, FTP, TFTP, RSync, WebDAV
소스타입에서는 smb가 있으므로 먼저 살펴보자
| metadata type=sourcetypes index=botsv1
| table sourcetype totalCount
SQL
복사
host를 동일하게 두고 보니 아무것도 나오지 않는다.
index=botsv1 host="we8105desk" sourcetype="stream:smb"
SQL
복사
앞으로는 host와 src_ip 둘다를 포함한 검색결과로 검색해야겠다.
검색결과를 살펴보면 바로 dest_ip가 한 IP 192.168.250.20이 압도적인 걸 확인할 수 있다.
index=botsv1 (host="we8105desk" OR src_ip="192.168.250.100") sourcetype="stream:smb"
SQL
복사
