Introducción
En este video tutorial, cubrimos la investigación de un punto final comprometido repasando los eventos maliciosos.
Parte de la serie Blue Primer. Esta sala está basada en la versión 3 de la competencia Boss of the SOC (BOTS) de Splunk.
En esta tarea, usted se concentrará en los eventos que ocurrieron principalmente en el punto final.
Las preguntas siguientes pertenecen a la serie 300 del conjunto de datos BOTSv3.
Obtenga notas de campo de Splunk
Pregunta 1 y 2
Se ha producido mucha actividad maliciosa en el terminal de Fyodor. Puede comenzar su búsqueda con su anfitrión.
Las descargas pueden involucrar varios protocolos: HTTP, TCP, FTP, etc. Dependiendo del protocolo, es posible que necesites agregar una operación, como FTP y RETR.
Si sigue esta ruta, el puerto sospechoso debería ser visible en el Campos disponibles.
Hay un par de caminos diferentes que puede tomar para esta pregunta.
Pregunta 3
Este podría requerir algo de trabajo. Se te proporciona un punto de partida, directorio /tmp. No olvides los asteriscos /tmp/*.*.
Revisar los datos devueltos; deberá excluir los tipos de fuentes para ayudar a limitar la búsqueda.
Además, agregue una palabra clave para ayudar a reducir aún más los resultados devueltos.
Hay algunos archivos sospechosos. Dos de ellas, en particular, son la respuesta correcta.
Pregunta 4
Se envió un correo electrónico a Grace Hoppy. Honestamente, tienes suficiente aquí para encontrar esta respuesta. 🙂
La pregunta radica en qué tipo de fuente incluir o excluir en su consulta de búsqueda.
Pregunta 5-6
Abordar esto también requerirá algo de trabajo. Para indicarle la dirección correcta, el registro de PowerShell y algo de decodificación lo ayudarán con esto.
Una vez que haya encontrado los eventos con las cargas útiles del atacante, tendrá suficiente para crear una consulta de búsqueda para la pregunta #6.
Tutorial en vídeo
Respuestas
Según la información recopilada para la pregunta 1, ¿qué archivo se puede inferir que contiene las herramientas de ataque? Guía de respuesta: incluya la extensión del archivo.
Durante el ataque, dos archivos se transmiten de forma remota al directorio /tmp del servidor local. linux servidor por parte del adversario. ¿Cuáles son los nombres de estos archivos? Guía de respuesta: Separados por comas sin espacios, en orden alfabético, incluya la extensión del archivo cuando corresponda.
El adversario de Taedonggang envió a Grace Hoppy un correo electrónico alardeando de la exfiltración exitosa de datos de clientes. ¿Cuántos correos electrónicos de clientes de Frothly fueron expuestos o revelados?
¿Cuál es la ruta de la URL a la que accede el servidor de comando y control? Guía de respuesta: proporcione la ruta completa. (Ejemplo: la ruta completa de la URL https://imgur.com/a/mAqgt4S/lasd3.jpg es /a/mAqgt4S/lasd3.jpg)
Al menos dos puntos finales de Frothly contactan con la infraestructura de comando y control del adversario. ¿Cuáles son sus nombres de host cortos? Guía de respuesta: Separados por comas sin espacios, en orden alfabético.
