ホストベースのIDSログの疑わしいエントリは、ホスト上でリバースシェルが実行され、ポート8080のリモートIPアドレス10.1.2.3に接続したことを示しています。シェルスクリプトオプションDは、netstatコマンドを使用して、そのIPアドレスとポートへのアクティブな接続があるかどうかを確認し、ある場合は「悪意のあるアクティビティ」と出力します。
それ以外の場合は「OK」。他のオプションでは接続が検出されなかったり、誤検知が発生したりする可能性があるため、これはリバース シェルがまだアクティブかどうかを確認する最も正確な方法です。
参考資料CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版、第 8 章: インシデント対応、ページ
339.リバース シェル チート シート、Bash セクション。

PID 1024 のプロセスが実行するアクティビティは、異常な動作に基づいて、この潜在的に悪意のあるプロセスに関する最良の洞察を提供します。BGInfo.exe は、デスクトップの背景にシステム情報を表示する正当なツールですが、攻撃者が侵害されたホストに関する情報を収集したり、悪意のあるプロセスを偽装したりするために使用されることもあります12。アクセスするファイル、確立するネットワーク接続、実行するコマンドなどの PID 1024 のアクティビティを監視することで、アナリストはプロセスが無害か悪意があるかを判断できます。
参照: bginfo.exe Windows プロセス - それは何ですか?、bginfo.exe とは何ですか? それは安全ですか、それともウイルスですか? それを削除または修正する方法

フィッシング攻撃が発生した場合、従業員がどのような行動を取ったかを確認し、フィッシング メールを分析してその性質と影響を理解することが重要です。参考資料: CompTIA CySA+ 学習ガイド: 試験 CS0-003、第 3 版、第 6 章、246 ページ、CompTIA CySA+ CS0-003 認定学習ガイド、第 6 章、255 ページ。

侵入分析のダイヤモンド モデルは、サイバー攻撃の 4 つの要素 (敵、能力、インフラストラクチャ、被害者) の関係を説明するフレームワークです。アナリストは、このモデルを使用して、脅威アクターの行動と動機、およびターゲットを侵害するために使用するツールと方法を理解することができます12。参考資料: サイバー脅威インテリジェンスの主な分析フレームワーク、セクション 4、効果的な脅威インテリジェンス チームを構築するための戦略、ツール、フレームワーク、セクション 3。

ネットワーク ルーティングの異常を最も正確に識別するためにシェル スクリプトで使用できる関数は次のとおりです。
関数 x() { info=(dig(dig -x $1 | grep PTR | tail -n 1 | awk -F ".in-addr" '{print $1}
').origin.asn.cymru.com TXT +short) && echo "$1 | $info" }
この関数は、IP アドレスを引数として受け取り、dig コマンドを使用して 2 つの DNS ルックアップを実行します。最初のルックアップでは、-x オプションを使用して逆 DNS ルックアップを実行し、IP アドレスに関連付けられたホスト名を取得します。2 番目のルックアップでは、origin.asn.cymru.com ドメインを使用して、自律システム番号 (ASN) と IP アドレスに関連するその他の情報を取得します。次に、この関数は IP アドレスと ASN 情報を出力します。これは、ルーティングの異常や不一致の特定に役立ちます。