مقدمة
لقد قمنا بتغطية التحقيق في حادث سيبراني باستخدام Splunk. لقد قمنا بالتحقيق في الأحداث التي تم إنشاؤها على أجهزة Windows المخترقة واكتشفنا عناصر الهجوم. كان هذا جزءًا من حاولHackMe التحقيق مع Splunk
سيناريو
شركة نفط الجنوب المحلل جوني لاحظت بعض السلوكيات الشاذة في سجلات عدد قليل من أجهزة Windows. يبدو أن الخصم لديه إمكانية الوصول إلى بعض هذه الأجهزة ونجح في إنشاء بعض الأبواب الخلفية. وقد طلب منه مديره سحب تلك السجلات من المضيفين المشتبه بهم واستيعابها في Splunk لإجراء تحقيق سريع. مهمتنا كما شركة نفط الجنوب يقوم المحلل بفحص السجلات وتحديد الحالات الشاذة.
إجابات التحدي
وعلى أحد الأجهزة المضيفة المصابة، نجح الخصم في إنشاء مستخدم خلفي. ما هو اسم المستخدم الجديد؟
على نفس المضيف، تم أيضًا تحديث مفتاح التسجيل فيما يتعلق بالمستخدم الخلفي الجديد. ما هو المسار الكامل لمفتاح التسجيل هذا؟
افحص السجلات وحدد المستخدم الذي كان الخصم يحاول انتحال شخصيته.
ما هو الأمر المستخدم لإضافة مستخدم مستتر من جهاز كمبيوتر بعيد؟
كم مرة تمت ملاحظة محاولة تسجيل الدخول من مستخدم الباب الخلفي أثناء التحقيق؟
ما اسم المضيف المصاب الذي تم تنفيذ أوامر Powershell المشبوهة عليه؟
بوويرشيل تم تمكين التسجيل على هذا الجهاز. ما عدد الأحداث التي تم تسجيلها لتنفيذ PowerShell الضار؟
بدأ برنامج Powershell النصي المشفر من المضيف المصاب طلب ويب. ما هو عنوان URL الكامل؟