Introduction

Dans cette vidéo pas à pas, nous avons abordé l'enquête sur le ransomware BlackMatter avec ProcDOT. Vous pouvez utiliser ProcDOT pour visualiser les processus et mener une enquête sur les logiciels malveillants.

Le pare-feu a alerté le Security Operations Center que l'une des machines du service commercial, qui stocke toutes les données des clients, a contacté les domaines malveillants via le réseau. Lorsque les analystes de sécurité ont examiné de près, les données envoyées aux domaines contenaient des chaînes suspectes codées en base64. Les analystes ont impliqué l'équipe de réponse aux incidents dans l'extraction des données de Process Monitor et du trafic réseau afin de déterminer si l'hôte est infecté. Mais une fois sur la machine, ils ont su qu’il s’agissait d’une attaque de ransomware en regardant le fond d’écran et en lisant la note du ransomware.

Pouvez-vous trouver d’autres preuves de compromission sur l’hôte et quel ransomware était impliqué dans l’attaque ?

Obtenez les notes de l'équipe bleue

Lien de la salle

Matériel TryHackMe Dunkle

Réponses

Fournissez les deux PID générés par l'exécutable malveillant. (Dans l'ordre tel qu'ils apparaissent dans l'outil d'analyse)

Indiquez le chemin complet où le ransomware a été initialement exécuté ? (Incluez le chemin complet dans votre réponse)

Ce ransomware transfère les informations sur le système compromis et les résultats du cryptage vers deux domaines via HTTP POST. Quels sont les deux domaines C2 ? (pas d'espace dans la réponse)

Quelles sont les IP des domaines malveillants ? (pas d'espace dans la réponse)

Fournissez l'agent utilisateur utilisé pour transférer les données cryptées vers le canal C2.

Fournissez le service de sécurité cloud qui a bloqué le domaine malveillant.

Fournissez le nom du bitmap que le ransomware a configuré comme fond d'écran.

Recherchez le PID (Process ID) du processus qui a tenté de modifier le fond d'écran sur la machine de la victime.

Le ransomware a monté un lecteur et lui a attribué la lettre. Fournissez le chemin de la clé de registre vers le lecteur monté, y compris la lettre du lecteur.

Vous avez maintenant collecté quelques IOC issus de cette enquête. Fournissez le nom du ransomware utilisé dans l’attaque. (recherche externe requise)

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles