Introduction

Nous avons utilisé Splunk pour enquêter sur l'activité du ransomware sur une machine Windows. Le ransomware a été téléchargé sur la machine via Powershell et a effectué un cryptage partiel du système de fichiers. Cela faisait partie de EssayezHackMe PS Eclipse

Scénario : Vous êtes un SOC Analyste pour une société MSSP (Managed Security Service Provider) appelée EssayezNotHackMe.

Un client a envoyé un e-mail demandant à un analyste d'enquêter sur les événements survenus sur la machine de Keegan le lundi 16 mai 2022. Le client a noté que la machine est opérationnel, mais certains fichiers ont une extension de fichier étrange. Le client s'inquiète d'une tentative de ransomware sur l'appareil de Keegan.

Votre responsable vous a chargé de vérifier les événements dans Splunk pour déterminer ce qui s'est passé dans l'appareil de Keegan.

 

Notes de terrain Splunk SIEM

 

Réponses au défi

Un binaire suspect a été téléchargé sur le point final. Quel était le nom du binaire ?

Quelle est l'adresse à partir de laquelle le binaire a été téléchargé ? Ajouter http:// à votre réponse et défangez l'URL.

Quel exécutable Windows a été utilisé pour télécharger le binaire suspect ? Entrez le chemin complet.

Quelle commande a été exécutée pour configurer le binaire suspect afin qu'il s'exécute avec des privilèges élevés ?

Sous quelles autorisations le binaire suspect sera-t-il exécuté ? Quelle était la commande pour exécuter le binaire avec des privilèges élevés ? (Format: Utilisateur + ; + Ligne de commande)

Le binaire suspect connecté à un serveur distant. A quelle adresse s'est-il connecté ? Ajouter http:// à votre réponse et défangez l'URL.

UN PowerShell Le script a été téléchargé au même endroit que le binaire suspect. Quel était le nom du fichier ?

Le script malveillant a été signalé comme malveillant. À votre avis, quel était le véritable nom du script malveillant ?

Une note de ransomware a été enregistrée sur le disque, qui peut servir de CIO. Quel est le chemin complet sous lequel la demande de rançon a été enregistrée ?

Le script a enregistré un fichier image sur le disque pour remplacer le fond d'écran du bureau de l'utilisateur, qui peut également servir de fond d'écran. CIO. Quel est le chemin complet de l’image ?

Vidéo pas à pas

Obtenez des notes de terrain sur la cybersécurité en devenant membre de ma chaîne YouTube

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles