introduzione

Abbiamo utilizzato Splunk per indagare sull'attività del ransomware su un computer Windows. Il ransomware è stato scaricato sulla macchina tramite Powershell e ha eseguito una crittografia parziale del file system. Questo faceva parte Prova HackMe PS Eclipse

Scenario: sei a SOC Analista per una società MSSP (Managed Security Service Provider) chiamata TryNotHackMe.

Un cliente ha inviato un'e-mail chiedendo a un analista di indagare sugli eventi accaduti sulla macchina di Keegan Lunedì 16 maggio 2022. Il cliente lo ha notato la macchina è operativo, ma alcuni file hanno un'estensione strana. Il cliente è preoccupato che ci sia stato un tentativo di ransomware sul dispositivo di Keegan.

Il tuo manager ti ha incaricato di controllare gli eventi in Splunk per determinare cosa è successo nel dispositivo di Keegan.

 

Note sul campo SIEM Splunk

 

Risposte alle sfide

È stato scaricato un file binario sospetto sull'endpoint. Qual era il nome del binario?

Qual è l'indirizzo da cui è stato scaricato il file binario? Aggiungere http:// alla tua risposta e disabilitare l'URL.

Quale eseguibile di Windows è stato utilizzato per scaricare il file binario sospetto? Inserisci il percorso completo.

Quale comando è stato eseguito per configurare il file binario sospetto in modo che venga eseguito con privilegi elevati?

Con quali autorizzazioni verrà eseguito il file binario sospetto? Qual era il comando per eseguire il file binario con privilegi elevati? (Formato: Utente + ; + Riga di comando)

Il file binario sospetto si è connesso a un server remoto. A che indirizzo si è connesso? Aggiungere http:// alla tua risposta e disabilitare l'URL.

UN PowerShell lo script è stato scaricato nella stessa posizione del file binario sospetto. Qual era il nome del file?

Lo script dannoso è stato contrassegnato come dannoso. Quale pensi fosse il vero nome dello script dannoso?

Una nota di ransomware è stata salvata su disco, che può fungere da file CIO. Qual è il percorso completo in cui è stata salvata la richiesta di riscatto?

Lo script ha salvato un file immagine su disco per sostituire lo sfondo del desktop dell'utente, che può anche fungere da file CIO. Qual è il percorso completo dell'immagine?

Videoprocedura dettagliata

Ottieni note sul campo sulla sicurezza informatica iscrivendoti al mio canale YouTube

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli