Einführung

Wir haben Splunk verwendet, um die Ransomware-Aktivität auf einem Windows-Rechner zu untersuchen. Die Ransomware wurde über Powershell auf den Rechner heruntergeladen und führte eine teilweise Dateisystemverschlüsselung durch. Dies war Teil von TryHackMe PS Eclipse

Szenario: Sie sind ein SOC Analyst für ein MSSP-Unternehmen (Managed Security Service Provider) namens Versuchen Sie es nicht mit HackMe.

Ein Kunde schickte eine E-Mail mit der Bitte, einen Analysten zu beauftragen, die Ereignisse zu untersuchen, die auf Keegans Rechner am Montag, 16. Mai 2022Der Kunde stellte fest, dass Die Maschine ist betriebsbereit, aber einige Dateien haben eine seltsame Dateierweiterung. Der Kunde befürchtet, dass es auf Keegans Gerät einen Ransomware-Angriff gegeben hat.

Ihr Manager hat Sie beauftragt, die Ereignisse in Splunk zu überprüfen, um festzustellen, was auf Keegans Gerät passiert ist.

 

Splunk SIEM-Feldnotizen

 

Antworten auf die Herausforderungen

Auf den Endpunkt wurde eine verdächtige Binärdatei heruntergeladen. Wie lautete der Name der Binärdatei?

Von welcher Adresse wurde die Binärdatei heruntergeladen? Hinzufügen http:// auf Ihre Antwort und entfernen Sie die URL.

Welche ausführbare Windows-Datei wurde zum Herunterladen der verdächtigen Binärdatei verwendet? Geben Sie den vollständigen Pfad ein.

Welcher Befehl wurde ausgeführt, um die verdächtige Binärdatei so zu konfigurieren, dass sie mit erhöhten Berechtigungen ausgeführt wird?

Mit welchen Berechtigungen wird die verdächtige Binärdatei ausgeführt? Wie lautete der Befehl zum Ausführen der Binärdatei mit erhöhten Berechtigungen? (Format: Benutzer + ; + Befehlszeile)

Die verdächtige Binärdatei hat sich mit einem Remote-Server verbunden. Mit welcher Adresse hat sie sich verbunden? Hinzufügen http:// auf Ihre Antwort und entfernen Sie die URL.

Power Shell Skript wurde an denselben Speicherort heruntergeladen wie die verdächtige Binärdatei. Wie hieß die Datei?

Das Schadskript wurde als Schadskript gekennzeichnet. Was glauben Sie, war der tatsächliche Name des Schadskripts?

Auf der Festplatte wurde eine Lösegeldforderung gespeichert, die als IOC. Wie lautet der vollständige Pfad, unter dem die Lösegeldforderung gespeichert wurde?

Das Skript speicherte eine Bilddatei auf der Festplatte, um das Desktop-Hintergrundbild des Benutzers zu ersetzen, das auch als IOC. Wie lautet der vollständige Pfad des Bildes?

Video-Komplettlösung

Erhalten Sie Feldnotizen zur Cybersicherheit, indem Sie meinem YouTube-Kanal beitreten

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen