Introducción
En este video tutorial, cubrimos la investigación del ransomware BlackMatter con ProcDOT. Puede utilizar ProcDOT para visualizar procesos y realizar investigaciones de malware.
El firewall alertó al Centro de Operaciones de Seguridad que una de las máquinas del departamento de Ventas, que almacena todos los datos de los clientes, contactó con los dominios maliciosos a través de la red. Cuando los analistas de seguridad observaron de cerca, los datos enviados a los dominios contenían cadenas sospechosas codificadas en base64. Los analistas involucraron al equipo de respuesta a incidentes en la extracción del Monitor de procesos y los datos del tráfico de la red para determinar si el host está infectado. Pero una vez que subieron a la máquina, supieron que se trataba de un ataque de ransomware al mirar el fondo de pantalla y leer la nota de ransomware.
¿Puede encontrar más evidencia de que el host se ha visto comprometido y qué ransomware estuvo involucrado en el ataque?
Enlace de habitación
Respuestas
Proporcione los dos PID generados por el ejecutable malicioso. (En el orden en que aparecen en la herramienta de análisis)
¿Proporcione la ruta completa donde se ejecutó inicialmente el ransomware? (Incluye la ruta completa en tu respuesta)
¿Cuáles son las IP de los dominios maliciosos? (no hay espacio en la respuesta)
Proporcione el agente de usuario utilizado para transferir los datos cifrados al canal C2.
Proporcionar el servicio de seguridad en la nube que bloqueó el dominio malicioso.
Proporcione el nombre del mapa de bits que el ransomware configuró como fondo de escritorio.
Encuentre el PID (ID de proceso) del proceso que intentó cambiar el fondo de pantalla en la máquina de la víctima.
El ransomware montó una unidad y le asignó la letra. Proporcione la ruta de la clave de registro a la unidad montada, incluida la letra de la unidad.
Ahora ha recopilado algunos COI de esta investigación. Proporcione el nombre del ransomware utilizado en el ataque. (se requiere investigación externa)
