Introduction
Nous avons couvert l'enquête sur un cyber-incident avec Splunk. Nous avons enquêté sur les événements générés sur les machines Windows compromises et découvert les artefacts d'attaque. Cela faisait partie de TryHackMe enquête avec Splunk
Scénario
SOC Analyste Johnny a observé des comportements anormaux dans les journaux de quelques machines Windows. Il semble que l’adversaire ait accès à certaines de ces machines et ait réussi à créer une porte dérobée. Son responsable lui a demandé d'extraire ces journaux des hôtes suspects et de les ingérer dans Splunk pour une enquête rapide. Notre tâche en tant que SOC L'analyste doit examiner les journaux et identifier les anomalies.
Réponses au défi
Sur l’un des hôtes infectés, l’adversaire a réussi à créer un utilisateur de porte dérobée. Quel est le nouveau nom d'utilisateur ?
Sur le même hôte, une clé de registre a également été mise à jour concernant le nouvel utilisateur de porte dérobée. Quel est le chemin complet de cette clé de registre ?
Examinez les journaux et identifiez l'utilisateur que l'adversaire tentait d'usurper l'identité.
Quelle est la commande utilisée pour ajouter un utilisateur de porte dérobée depuis un ordinateur distant ?
Combien de fois la tentative de connexion de l’utilisateur de la porte dérobée a-t-elle été observée au cours de l’enquête ?
Quel est le nom de l’hôte infecté sur lequel des commandes Powershell suspectes ont été exécutées ?
PowerShell la journalisation est activée sur cet appareil. Combien d’événements ont été enregistrés pour l’exécution malveillante de PowerShell ?
Un script Powershell codé de l’hôte infecté a lancé une requête Web. Quelle est l'URL complète ?