Einführung
In dieser Video-Anleitung haben wir die Untersuchung eines kompromittierten Endpunkts anhand der bösartigen Ereignisse behandelt.
Teil der Blue Primer-Reihe. Dieser Raum basiert auf Version 3 des Boss of the SOC (BOTS)-Wettbewerbs von Splunk.
Bei dieser Aufgabe konzentrieren Sie sich auf Ereignisse, die überwiegend am Endpunkt aufgetreten sind.
Die folgenden Fragen stammen aus der 300er-Reihe des BOTSv3-Datensatzes.
Holen Sie sich Splunk Field Notes
Frage 1 und 2
Auf Fjodors Endpunkt ist eine Menge bösartiger Aktivität aufgetreten. Sie können Ihre Suche bei seinem Host beginnen.
Downloads können verschiedene Protokolle umfassen: HTTP, TCP, FTP usw. Abhängig vom Protokoll müssen Sie möglicherweise eine Operation hinzufügen, z. B. FTP und RETR.
Wenn Sie diesen Weg gehen, sollte der verdächtige Port in der Verfügbare Felder.
Für diese Frage können Sie verschiedene Wege einschlagen.
Frage 3
Dies könnte etwas Arbeit erfordern. Sie erhalten einen Ausgangspunkt, /tmp-Verzeichnis. Vergessen Sie nicht die Sternchen, /tmp/*.*.
Überprüfen Sie die zurückgegebenen Daten. Sie müssen Quelltypen ausschließen, um die Suche einzugrenzen.
Fügen Sie zusätzlich ein Schlüsselwort hinzu, um die zurückgegebenen Ergebnisse noch weiter einzugrenzen.
Es gibt einige verdächtige Dateien. Zwei davon sind die richtige Antwort.
Frage 4
Eine E-Mail wurde an Grace Hoppy gesendet. Ehrlich gesagt, Sie haben hier genug, um diese Antwort zu finden. 🙂
Die Frage ist, welchen Quellentyp Sie in Ihre Suchanfrage einschließen oder ausschließen möchten.
Frage 5-6
Auch dieses Problem erfordert einiges an Arbeit. Um Sie in die richtige Richtung zu lenken, helfen Ihnen PowerShell-Protokollierung und etwas Dekodierung dabei.
Sobald Sie die Ereignisse mit den Nutzdaten des Angreifers gefunden haben, verfügen Sie über genügend Informationen, um eine Suchanfrage für Frage #6 zu erstellen.
Video-Anleitung
Antworten
Aus den für Frage 1 gesammelten Informationen lässt sich schließen, dass welche Datei die Angriffstools enthält? Antworthinweis: Geben Sie die Dateierweiterung an.
Während des Angriffs werden zwei Dateien remote in das Verzeichnis /tmp des lokalen Servers gestreamt. Linux Server durch den Gegner. Wie lauten die Namen dieser Dateien? Antwortanleitung: Durch Komma getrennt, ohne Leerzeichen, in alphabetischer Reihenfolge, ggf. mit Angabe der Dateierweiterung.
Der Taedonggang-Gegner schickte Grace Hoppy eine E-Mail, in der er mit der erfolgreichen Exfiltration von Kundendaten prahlte. Wie viele Frothly-Kunden-E-Mails wurden offengelegt oder enthüllt?
Wie lautet der Pfad der URL, auf die der Command-and-Control-Server zugreift? Antworthinweis: Geben Sie den vollständigen Pfad an. (Beispiel: Der vollständige Pfad für die URL https://imgur.com/a/mAqgt4S/lasd3.jpg lautet /a/mAqgt4S/lasd3.jpg)
Mindestens zwei Frothly-Endpunkte kontaktieren die Befehls- und Kontrollinfrastruktur des Gegners. Wie lauten ihre kurzen Hostnamen? Antwortanleitung: Durch Komma getrennt, ohne Leerzeichen, in alphabetischer Reihenfolge.
