PoisonedCredentials — разбор задания с платформы CyberDefenders
Это первый разбор, который мне когда-либо приходилось выкладывать!
Задание взято с тренировочной платформы CyberDefenders.
Служба безопасности организации обнаружила подозрительную сетевую активность. Предполагается, что в сети могут совершаться атаки, вызывающие отравление LLMNR (локальное разрешение многоадресных имен) и NBT-NS (служба имен NetBIOS). Известно, что эти атаки используют данные протоколы для перехвата сетевого трафика и потенциальной компрометации учетных данных пользователей. Ваша задача — изучить сетевые журналы и захваченный сетевой трафик.
Источник: Хабрахабр