Introducción
Usamos Splunk para investigar la actividad de ransomware en una máquina con Windows. El ransomware se descargó en la máquina a través de Powershell y realizó un cifrado parcial del sistema de archivos. Esto fue parte de PruebaHackMe PS Eclipse
Escenario: Eres un SOC Analista de una empresa MSSP (Proveedor de Servicios de Seguridad Gestionada) llamada Intenta no hackearme.
Un cliente envió un correo electrónico solicitando un analista para investigar los eventos que ocurrieron en la máquina de Keegan el lunes 16 de mayo de 2022. El cliente notó que la máquina está operativo, pero algunos archivos tienen una extensión de archivo extraña. Al cliente le preocupa que haya habido un intento de ransomware en el dispositivo de Keegan.
Su gerente le ha encargado que verifique los eventos en Splunk para determinar qué ocurrió en el dispositivo de Keegan.
Respuestas al desafío
¿Cuál es la dirección desde la que se descargó el binario? Agregar http:// a su respuesta y desactive la URL.
¿Qué ejecutable de Windows se utilizó para descargar el binario sospechoso? Ingrese la ruta completa.
¿Qué comando se ejecutó para configurar el binario sospechoso para que se ejecute con privilegios elevados?
¿Con qué permisos se ejecutará el binario sospechoso? ¿Cuál fue el comando para ejecutar el binario con privilegios elevados? (Formato: Usuario + ; + Línea de comando)
El binario sospechoso se conectó a un servidor remoto. ¿A qué dirección se conectó? Agregar http:// a su respuesta y desactive la URL.
A Potencia Shell El script se descargó en la misma ubicación que el binario sospechoso. ¿Cuál era el nombre del archivo?
El script malicioso fue marcado como malicioso. ¿Cuál crees que era el nombre real del script malicioso?
Se guardó una nota de ransomware en el disco, que puede servir como COI. ¿Cuál es la ruta completa en la que se guardó la nota de rescate?
El script guardó un archivo de imagen en el disco para reemplazar el fondo de pantalla del escritorio del usuario, que también puede servir como COI. ¿Cuál es el camino completo de la imagen?
Tutorial en vídeo
Obtenga notas de campo sobre seguridad cibernética uniéndose a la membresía de mi canal de YouTube