Introduction
Dans cette présentation vidéo, nous avons abordé l'enquête sur un point de terminaison compromis en passant en revue les événements malveillants.
Fait partie de la série Blue Primer. Cette salle est basée sur la version 3 du concours Boss of the SOC (BOTS) de Splunk.
Dans cette tâche, vous vous concentrez sur les événements qui se sont principalement produits sur le point de terminaison.
Les questions ci-dessous proviennent de la série 300 de l'ensemble de données BOTSv3.
Obtenez des notes de terrain Splunk
Questions 1 et 2
De nombreuses activités malveillantes se sont produites sur le point final de Fyodor. Vous pouvez commencer votre recherche auprès de son hébergeur.
Les téléchargements peuvent impliquer différents protocoles : HTTP, TCP, FTP, etc. Selon le protocole, vous devrez peut-être ajouter une opération, telle que FTP & RETR.
Si vous suivez cette voie, le port suspect devrait être visible dans le Champs disponibles.
Vous pouvez emprunter plusieurs chemins différents pour répondre à cette question.
question 3
Celui-ci pourrait demander du travail. Vous disposez d'un point de départ, Répertoire /tmp. N'oubliez pas les astérisques, /tmp/*.*.
Examinez les données renvoyées ; vous devrez exclure les types de sources pour affiner la recherche.
De plus, ajoutez un mot-clé pour réduire encore davantage les résultats renvoyés.
Il y a quelques fichiers suspects. Deux d’entre elles, en particulier, constituent la bonne réponse.
Question 4
Un e-mail a été envoyé à Grace Hoppy. Honnêtement, vous en avez assez ici pour trouver cette réponse. 🙂
La question réside dans le type de source à inclure ou à exclure dans votre requête de recherche.
Questions 5-6
S’attaquer à celui-ci nécessitera également du travail. Pour vous orienter dans la bonne direction, PowerShell Logging et certains décodages vous aideront dans cette démarche.
Une fois que vous avez trouvé les événements avec les charges utiles de l'attaquant, vous en aurez suffisamment pour créer une requête de recherche pour la question #6.
Vidéo pas à pas
Réponses
Sur la base des informations recueillies pour la question 1, quel fichier peut-on déduire qu'il contient les outils d'attaque ? Réponse : Incluez l'extension de fichier.
Lors de l'attaque, deux fichiers sont diffusés à distance vers le répertoire /tmp du serveur sur site. Linux serveur par l’adversaire. Quels sont les noms de ces fichiers ? Réponse : Séparées par des virgules sans espaces, par ordre alphabétique, incluez l'extension du fichier le cas échéant.
L'adversaire du Taedonggang a envoyé à Grace Hoppy un e-mail se vantant de l'exfiltration réussie des données clients. Combien d’e-mails de clients Frothly ont été exposés ou révélés ?
Quel est le chemin de l’URL à laquelle accède le serveur de commande et de contrôle ? Guide de réponse : indiquez le chemin d'accès complet. (Exemple : le chemin complet de l'URL https://imgur.com/a/mAqgt4S/lasd3.jpg est /a/mAqgt4S/lasd3.jpg)
Au moins deux points de terminaison Frothly contactent l’infrastructure de commandement et de contrôle de l’adversaire. Quels sont leurs noms d’hôtes courts ? Réponse : Séparés par des virgules sans espaces, par ordre alphabétique.
