introduzione
In questo video dettagliato abbiamo trattato l'analisi del ransomware BlackMatter con ProcDOT. Puoi utilizzare ProcDOT per visualizzare i processi e condurre indagini sul malware.
Il firewall ha avvisato il Security Operations Center che una delle macchine del reparto vendite, che memorizzano tutti i dati dei clienti, ha contattato i domini dannosi attraverso la rete. Quando gli analisti della sicurezza hanno esaminato attentamente, i dati inviati ai domini contenevano stringhe sospette con codifica base64. Gli analisti hanno coinvolto il team di risposta agli incidenti nell'estrazione dei dati di Process Monitor e del traffico di rete per determinare se l'host è infetto. Ma una volta entrati nel computer, hanno capito che si trattava di un attacco ransomware guardando lo sfondo e leggendo la nota del ransomware.
Riesci a trovare ulteriori prove di compromissione dell'host e di quale ransomware è stato coinvolto nell'attacco?
Collegamento della stanza
Risposte
Fornire i due PID generati dall'eseguibile dannoso. (Nell'ordine in cui appaiono nello strumento di analisi)
Fornire il percorso completo in cui è stato inizialmente eseguito il ransomware? (Includi il percorso completo nella tua risposta)
Quali sono gli IP dei domini dannosi? (nessuno spazio nella risposta)
Fornire lo user-agent utilizzato per trasferire i dati crittografati sul canale C2.
Fornire il servizio di sicurezza cloud che ha bloccato il dominio dannoso.
Fornisci il nome della bitmap configurata dal ransomware come sfondo del desktop.
Trova il PID (ID processo) del processo che ha tentato di modificare lo sfondo del computer della vittima.
Il ransomware ha montato un'unità e le ha assegnato la lettera. Fornire il percorso della chiave di registro dell'unità montata, inclusa la lettera dell'unità.
Ora hai raccolto alcuni IOC da questa indagine. Fornire il nome del ransomware utilizzato nell'attacco. (è richiesta una ricerca esterna)
