Introducción

Usamos Splunk para investigar la actividad de ransomware en una máquina con Windows. El ransomware se descargó en la máquina a través de Powershell y realizó un cifrado parcial del sistema de archivos. Esto fue parte de PruebaHackMe PS Eclipse

Escenario: Eres un SOC Analista de una empresa MSSP (Proveedor de Servicios de Seguridad Gestionada) llamada Intenta no hackearme.

Un cliente envió un correo electrónico solicitando un analista para investigar los eventos que ocurrieron en la máquina de Keegan el lunes 16 de mayo de 2022. El cliente notó que la máquina está operativo, pero algunos archivos tienen una extensión de archivo extraña. Al cliente le preocupa que haya habido un intento de ransomware en el dispositivo de Keegan.

Su gerente le ha encargado que verifique los eventos en Splunk para determinar qué ocurrió en el dispositivo de Keegan.

 

Notas de campo de Splunk SIEM

 

Respuestas al desafío

Se descargó un binario sospechoso en el punto final. ¿Cómo se llamaba el binario?

¿Cuál es la dirección desde la que se descargó el binario? Agregar http:// a su respuesta y desactive la URL.

¿Qué ejecutable de Windows se utilizó para descargar el binario sospechoso? Ingrese la ruta completa.

¿Qué comando se ejecutó para configurar el binario sospechoso para que se ejecute con privilegios elevados?

¿Con qué permisos se ejecutará el binario sospechoso? ¿Cuál fue el comando para ejecutar el binario con privilegios elevados? (Formato: Usuario + ; + Línea de comando)

El binario sospechoso se conectó a un servidor remoto. ¿A qué dirección se conectó? Agregar http:// a su respuesta y desactive la URL.

Potencia Shell El script se descargó en la misma ubicación que el binario sospechoso. ¿Cuál era el nombre del archivo?

El script malicioso fue marcado como malicioso. ¿Cuál crees que era el nombre real del script malicioso?

Se guardó una nota de ransomware en el disco, que puede servir como COI. ¿Cuál es la ruta completa en la que se guardó la nota de rescate?

El script guardó un archivo de imagen en el disco para reemplazar el fondo de pantalla del escritorio del usuario, que también puede servir como COI. ¿Cuál es el camino completo de la imagen?

Tutorial en vídeo

Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos