introduzione
In questa procedura dettagliata video abbiamo esaminato l'indagine su un endpoint compromesso esaminando gli eventi dannosi.
Parte della serie Blue Primer. Questa stanza è basata sulla versione 3 del concorso Boss of the SOC (BOTS) di Splunk.
In questa attività ti concentrerai sugli eventi che si sono verificati principalmente sull'endpoint.
Le domande seguenti provengono dalla serie 300 del set di dati BOTSv3.
Domanda 1 e 2
Si sono verificate molte attività dannose sull'endpoint di Fyodor. Puoi iniziare la ricerca con il suo host.
I download possono coinvolgere vari protocolli: HTTP, TCP, FTP, ecc. A seconda del protocollo, potrebbe essere necessario aggiungere un'operazione, come FTP e RETR.
Se segui questa strada, la porta sospetta dovrebbe essere visibile nel file Campi disponibili.
Ci sono un paio di percorsi diversi che puoi intraprendere per questa domanda.
Domanda 3
Questo potrebbe richiedere del lavoro. Ti viene fornito un punto di partenza, directory /tmp. Non dimenticare gli asterischi, /tmp/*.*.
Esaminare i dati restituiti; dovrai escludere i tipi di fonte per restringere la ricerca.
Inoltre, aggiungi una parola chiave per ridurre ulteriormente i risultati restituiti.
Ci sono alcuni file sospetti. Due di loro, in particolare, sono la risposta corretta.
Domanda 4
È stata inviata un'e-mail a Grace Hoppy. Onestamente, ne hai abbastanza qui per trovare questa risposta. 🙂
La domanda sta nel tipo di fonte da includere o escludere nella query di ricerca.
Domanda 5-6
Anche affrontare questo richiederà del lavoro. Per indirizzarti nella giusta direzione, la registrazione di PowerShell e alcune decodifiche ti aiuteranno in questo.
Una volta trovati gli eventi con i payload dell'aggressore, avrai abbastanza dati per creare una query di ricerca per la domanda #6.
Videoguida
Risposte
Sulla base delle informazioni raccolte per la domanda 1, quale file si può dedurre contenga gli strumenti di attacco? Guida alla risposta: includi l'estensione del file.
Durante l'attacco, due file vengono trasmessi in remoto alla directory /tmp dell'ambiente locale Linux servitore da parte dell'avversario. Quali sono i nomi di questi file? Guida alla risposta: virgole separate senza spazi, in ordine alfabetico, includere l'estensione del file ove applicabile.
L'avversario di Taedonggang ha inviato a Grace Hoppy un'e-mail vantandosi della riuscita esfiltrazione dei dati dei clienti. Quante e-mail dei clienti Foamly sono state esposte o rivelate?
Qual è il percorso dell'URL a cui accede il server di comando e controllo? Indicazioni sulla risposta: fornire il percorso completo. (Esempio: il percorso completo dell'URL https://imgur.com/a/mAqgt4S/lasd3.jpg è /a/mAqgt4S/lasd3.jpg)
Almeno due endpoint Foamy contattano l'infrastruttura di comando e controllo dell'avversario. Quali sono i loro nomi host brevi? Guida alla risposta: virgole separate senza spazi, in ordine alfabetico.
