Помещение

В этом пошаговом видео мы рассказали, как исследовать программу-вымогатель Cerber и найти связанные с ней артефакты на компьютерах с Windows.

 

Получить заметки к полям Splunk

 

Описание задачи

В рамках серии Blue Primer вы узнаете, как использовать Splunk для поиска в огромных объемах информации.

Одному из ваших пользователей в Wayne Enterprises удалось заразить свою машину. Проработайте второй сценарий, чтобы узнать, как это произошло! Не стесняйтесь использовать предоставленный материал, чтобы подтолкнуть вас!

Вопросы-задачи

Какой IP-адрес был наиболее вероятным у we8105desk 24 августа 2016 года?

Как называется USB-ключ, вставленный Бобом Смитом?

После вставки USB происходит выполнение файла, что является первоначальным заражением Cerber. Выполнение этого файла создает два дополнительных процесса. Как называется файл?

Во время первоначального заражения Cerber запускается сценарий VB. Весь сценарий этого выполнения, к которому добавляется имя запускающего .exe, можно найти в поле в Splunk. Какова длина этого поля в символах?

Рабочая станция Боба Смита (we8105desk) была подключена к файловому серверу во время вспышки программы-вымогателя. Какой IP-адрес файлового сервера?

Какой подозрительный домен первым посетил we8105desk 24 августа 2016 г.?

Вредоносная программа загружает файл, содержащий код шифрования программы-вымогателя Cerber. Как называется этот файл?

Каков идентификатор родительского процесса 121214.tmp?

Среди сигнатур Suricata, обнаруживших вредоносное ПО Cerber, какой идентификатор сигнатуры выдал предупреждение наименьшее количество раз?

Программа-вымогатель Cerber шифрует файлы, расположенные в профиле Windows Боба Смита. Сколько файлов .txt он шифрует?

Сколько различных PDF-файлов зашифровала программа-вымогатель на удаленном файловом сервере?

На какое полное доменное имя (FQDN) программа-вымогатель Cerber пытается направить пользователя в конце фазы шифрования?

Ссылка на номер

https://tryhackme.com/room/bpsplunk

Видео прохождение

 

об авторе

Инструктор по кибербезопасности и пловец

Посмотреть статьи