# MISP Training
:::info
:bulb: This page is for training purpose. For unrelated actors, please leave immediately.
:::
## 🎉 Welcome
:::success
This is the first hands-on exercise for MISP user. Good luck!
:::
:::info
:bulb: Demo account you could use:
* URL platform: https://bssn-apjii.cloud:1443/
* Username: training1@misp.apjii - training30@misp.apjii
* Password : Training123!
:::
## :white_check_mark: Checklist
:::success
This is a list for today's exercises. Please read it carefully.
:::
### :small_orange_diamond: Scenario 1: Email SpearPhishing
~~~
From abuse@indonesiaict.co.id
cc nat-csirt@cyber.go.id
Kepada user1-20,
Kami baru saja mendeteksi adanya usaha spearphishing yang mentarget
CEO perusahaan kami dengan detail sebagai berikut:
CEO Perusahaan menerima email pada tanggal 24/02/2023
15:50 yang berisi pesan terpersonalisasi mengenai laporan
Rapor anak CEO tersebut. Penyerang berpura-pura menjadi
pegawai sekolah anak CEO, dan mengirimkan pesan dari
alamat yang terpalsukan (spoofed) budi.nugroho@smaksatria.edu.
Budi adalah guru dari murid SMA Ksatria. Email yang
diterima berasal dari www.spoofmyemail.com
(172.67.149.177).
Email tersebut berisi file malicious (terlampir) yang
jika ditrigger akan mencoba mendownload payload kedua
dari https:// https://virusshare.com/amandarivirus.exe
(terlampir) yang resolved koneksi ke 71.105.224.116.
Sampel yang didownload sepertinya mencoba mengeksploitasi
CVE-2015-5465. Setelah triage, payload kedua ini memiliki
target C2 terhardcode yang ditujukan ke
https://dasmalwerk.eu:57666 (46.30.213.63) yang mana C2
ini mencoba mengekstraksi credential dari mesin lokal.
Sejauh ini analisis yang dapat kami lakukan. Tetap
waspada karena kasus ini masih dalam tahap investigasi.
Kami berhadap agar penyerang tidak menyadari bahwa
investigasi ini dilakukan. Oleh karena itu, tolong
gunakan informasi ini cukup untuk melindungi organisasi
anda.
Hormat kami
---
Attachment
* RaportAnakCEO.xlsx
* amandarivirus.exe
~~~
- [ ] Create Event anda dengan prefix 'User1'-'User20'
- [ ] Add "draft" Tag
- [ ] Create email object
- [ ] Create personel object
- [ ] Create malware sample object
- [ ] Create another object
- [ ] Correlation & Contextualization
- [ ] Event Graph
- [ ] Attachment
- [ ] Populate attribute from text
- [ ] Transform attribute to object
- [ ] MITRE ATT&CK
- [ ] Event Tagging
- [ ] TLP & PAP
- [ ] Counter analysis
- [ ] Event Publishing
### :small_orange_diamond: Dashboard JSON format
~~~
{
"UserSetting": {
"id": "1",
"setting": "dashboard",
"value": [
{
"widget": "MispStatusWidget",
"config": [],
"position": {
"x": "7",
"y": "8",
"width": "4",
"height": "3"
}
},
{
"widget": "MispSystemResourceWidget",
"config": [],
"position": {
"x": "0",
"y": "8",
"width": "7",
"height": "3"
}
},
{
"widget": "EventStreamWidget",
"config": [],
"position": {
"x": "4",
"y": "4",
"width": "7",
"height": "4"
}
},
{
"widget": "CsseCovidMapWidget",
"config": [],
"position": {
"x": "0",
"y": "0",
"width": "4",
"height": "8"
}
},
{
"widget": "TrendingTagsWidget",
"config": [],
"position": {
"x": "4",
"y": "0",
"width": "7",
"height": "4"
}
}
],
"user_id": "1",
"timestamp": "1684813507"
}
}
~~~
Sign in with Wallet
Connect another wallet