مقدمة
قمنا بتغطية التحقيق في جهاز يعمل بنظام Windows مصاب باستخدام Splunk. لقد قمنا بالتحقق من سجلات أحداث Windows ومعالجة أحداث التنفيذ على وجه التحديد. كان هذا جزءًا من حاولHackMe حميدة
سوف نقوم بالتحقيق في السجلات الخاصة بالمضيف في غرفة التحدي هذه للعثور على تنفيذ عملية مشبوهة. لمعرفة المزيد حول Splunk وكيفية التحقق من السجلات، انظر إلى الغرف splunk101 و splunk201.
أحد العملاء معرفات أشار إلى تنفيذ عملية مشبوهة تشير إلى تعرض أحد المضيفين من قسم الموارد البشرية للاختراق. تم تنفيذ بعض الأدوات المتعلقة بجمع معلومات الشبكة / المهام المجدولة مما أكد الشكوك. نظرًا للموارد المحدودة، لم نتمكن إلا من سحب سجلات تنفيذ العملية بمعرف الحدث: 4688 واستيعابها في Splunk باستخدام الفهرس win_eventlogs لمزيد من التحقيق.
حول معلومات الشبكة
تنقسم الشبكة إلى ثلاثة أجزاء منطقية. وسوف يساعد في التحقيق.
قسم تكنولوجيا المعلومات
- جوامع
- معين
- كاترينا
قسم الموارد البشرية
- هارون
- كريس
- ديانا
قسم التسويق
- جرس
- اميليا
- ديباك
إجابات التحدي
تنبيه المحتال: يبدو أن هناك حسابًا محتالًا تمت ملاحظته في السجلات، ما اسم هذا المستخدم؟
من هو المستخدم من قسم الموارد البشرية الذي تمت ملاحظته وهو يقوم بتشغيل المهام المجدولة؟
أي مستخدم من قسم الموارد البشرية قام بتنفيذ عملية نظام (LOLBIN) لتنزيل حمولة من مضيف مشاركة الملفات.
لتجاوز الضوابط الأمنية، ما هي عملية النظام (lolbin) التي تم استخدامها لتنزيل حمولة من الإنترنت؟
ما هو التاريخ الذي تم فيه تنفيذ هذا الثنائي بواسطة المضيف المصاب؟ التنسيق (YYYY-MM-DD)
ما هو موقع الطرف الثالث الذي تم الوصول إليه لتنزيل الحمولة الضارة؟
ما هو اسم الملف الذي تم حفظه على الجهاز المضيف من ج2 الخادم خلال مرحلة ما بعد الاستغلال؟
الملف المشبوه الذي تم تنزيله من ج2 يحتوي الخادم على محتوى ضار بالنمط THM{……….}؛ ما هو هذا النمط؟
ما هو عنوان URL الذي اتصل به المضيف المصاب؟
