Einführung

In diesem Video-Walkthrough haben wir die Untersuchung der BlackMatter-Ransomware mit ProcDOT behandelt. Mit ProcDOT können Sie Prozesse visualisieren und Malware-Untersuchungen durchführen.

Die Firewall machte das Security Operations Center darauf aufmerksam, dass einer der Rechner in der Verkaufsabteilung, auf dem alle Kundendaten gespeichert sind, über das Netzwerk Kontakt zu den bösartigen Domänen aufgenommen hatte. Als die Sicherheitsanalysten genauer hinsahen, stellten sie fest, dass die an die Domänen gesendeten Daten verdächtige base64-codierte Zeichenfolgen enthielten. Die Analysten beauftragten das Incident Response Team damit, den Prozessmonitor und die Netzwerkverkehrsdaten abzurufen, um festzustellen, ob der Host infiziert ist. Doch als sie erst einmal Zugriff auf den Rechner hatten, erkannten sie anhand des Hintergrundbilds und der Lösegeldforderung, dass es sich um einen Ransomware-Angriff handelte.

Können Sie weitere Hinweise auf eine Kompromittierung des Hosts finden und welche Ransomware am Angriff beteiligt war?

Holen Sie sich Blue Team Notes

Zimmer Link

TryHackMe Dunkle Materie

Antworten

Geben Sie die beiden PIDs an, die von der bösartigen ausführbaren Datei erzeugt wurden. (In der Reihenfolge, in der sie im Analysetool erscheinen)

Geben Sie den vollständigen Pfad an, unter dem die Ransomware ursprünglich ausgeführt wurde. (Fügen Sie den vollständigen Pfad in Ihre Antwort ein.)

Diese Ransomware überträgt die Informationen über das kompromittierte System und die Verschlüsselungsergebnisse per HTTP POST an zwei Domänen. Was sind die beiden C2-Domänen? (kein Platz in der Antwort)

Was sind die IPs der bösartigen Domänen? (kein Platz in der Antwort)

Geben Sie den Benutzeragenten an, der zum Übertragen der verschlüsselten Daten an den C2-Kanal verwendet wird.

Stellen Sie den Cloud-Sicherheitsdienst bereit, der die bösartige Domäne blockiert hat.

Geben Sie den Namen der Bitmap an, die die Ransomware als Desktop-Hintergrund eingerichtet hat.

Suchen Sie die PID (Prozess-ID) des Prozesses, der versucht hat, das Hintergrundbild auf dem Computer des Opfers zu ändern.

Die Ransomware hat ein Laufwerk gemountet und ihm den Buchstaben zugewiesen. Geben Sie den Registrierungsschlüsselpfad zum gemounteten Laufwerk an, einschließlich des Laufwerkbuchstaben.

Jetzt haben Sie einige IOCs aus dieser Untersuchung gesammelt. Geben Sie den Namen der beim Angriff verwendeten Ransomware an. (externe Recherche erforderlich)

Video-Anleitung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen