مقدمة
في هذا الفيديو التفصيلي، تناولنا التحقيق في نقطة نهاية تم اختراقها من خلال مراجعة الأحداث الضارة.
جزء من سلسلة بلو برايمر. تعتمد هذه الغرفة على الإصدار 3 من مسابقة Boss of the SOC (BOTS) التي تقدمها Splunk.
في هذه المهمة، أنت تركز على الأحداث التي حدثت في الغالب عند نقطة النهاية.
الأسئلة الواردة أدناه مأخوذة من السلسلة 300 من مجموعة بيانات BOTSv3.
احصل على ملاحظات Splunk الميدانية
السؤال 1 و 2
لقد حدث الكثير من الأنشطة الضارة على نقطة نهاية فيودور. يمكنك أن تبدأ البحث مع مضيفه.
يمكن أن تتضمن التنزيلات بروتوكولات مختلفة: HTTP، وTCP، وFTP، وما إلى ذلك. اعتمادًا على البروتوكول، قد تحتاج إلى إضافة عملية، مثل FTP & RETR.
إذا سلكت هذا الطريق، فيجب أن يكون المنفذ المشتبه به ملحوظًا في الملف الحقول المتاحة.
هناك طريقتان مختلفتان يمكنك اتباعهما لهذا السؤال.
السؤال 3
هذا قد يستغرق بعض العمل. لقد تم تزويدك بنقطة بداية، الدليل / تمب. ولا تنسى العلامات النجمية /تمب/*.*.
مراجعة البيانات التي تم إرجاعها؛ ستحتاج إلى استبعاد أنواع المصادر للمساعدة في تضييق نطاق البحث.
بالإضافة إلى ذلك، قم بإضافة كلمة أساسية للمساعدة في تقليص النتائج التي تم إرجاعها بشكل أكبر.
هناك عدد قليل من الملفات المشبوهة. اثنان منهم، على وجه الخصوص، هما الإجابة الصحيحة.
السؤال 4
تم إرسال بريد إلكتروني إلى جريس هوبي. بصراحة، لديك ما يكفي هنا للعثور على هذه الإجابة. 🙂
يكمن السؤال في نوع المصدر الذي سيتم تضمينه أو استبعاده في استعلام البحث الخاص بك.
السؤال 5-6
سوف يتطلب التعامل مع هذا الأمر بعض العمل أيضًا. لتوجيهك في الاتجاه الصحيح، سيساعدك PowerShell Logging وبعض عمليات فك التشفير في هذا الأمر.
بمجرد العثور على الأحداث التي تحتوي على حمولات المهاجم، سيكون لديك ما يكفي لإنشاء استعلام بحث للسؤال #6.
جولة بالفيديو
الإجابات
بناءً على المعلومات التي تم جمعها للسؤال 1، ما هو الملف الذي يمكن استنتاجه أنه يحتوي على أدوات الهجوم؟ إرشادات الإجابة: قم بتضمين امتداد الملف.
أثناء الهجوم، يتم دفق ملفين عن بعد إلى الدليل /tmp الخاص بالموقع المحلي لينكس الخادم من قبل الخصم. ما هي أسماء هذه الملفات؟ إرشادات الإجابة: مفصولة بفواصل بدون مسافات، بالترتيب الأبجدي، مع تضمين امتداد الملف حيثما ينطبق ذلك.
أرسل خصم Taedonggang إلى Grace Hoppy بريدًا إلكترونيًا يتفاخر فيه بالتسلل الناجح لبيانات العملاء. كم عدد رسائل البريد الإلكتروني الخاصة بعملاء Frothly التي تم كشفها أو الكشف عنها؟
ما هو مسار عنوان URL الذي يتم الوصول إليه بواسطة خادم الأوامر والتحكم؟ توجيه الإجابة: تقديم المسار الكامل. (مثال: المسار الكامل لعنوان URL https://imgur.com/a/mAqgt4S/lasd3.jpg هو /a/mAqgt4S/lasd3.jpg)
تتصل نقطتا نهاية Frothly على الأقل بالبنية التحتية للقيادة والتحكم الخاصة بالخصم. ما هي أسماء المضيفين القصيرة الخاصة بهم؟ إرشادات الإجابة: مفصولة بفواصل بدون مسافات، حسب الترتيب الأبجدي.
