Einführung
Wir haben die Untersuchung einer infizierten Windows-Maschine mit Splunk behandelt. Wir haben Windows-Ereignisprotokolle und insbesondere Prozessausführungsereignisse untersucht. Dies war Teil von TryHackMe Gutartig
Wir werden in diesem Challenge-Raum hostzentrierte Protokolle untersuchen, um verdächtige Prozessausführungen zu finden. Weitere Informationen zu Splunk und zur Untersuchung der Protokolle finden Sie in den Räumen splunk101 Und splunk201.
Einer der Kunden IDS zeigte eine potenziell verdächtige Prozessausführung an, die darauf hindeutete, dass einer der Hosts der Personalabteilung kompromittiert wurde. Einige Tools im Zusammenhang mit der Erfassung von Netzwerkinformationen / geplanten Aufgaben wurden ausgeführt, was den Verdacht bestätigte. Aufgrund begrenzter Ressourcen konnten wir nur die Prozessausführungsprotokolle mit der Ereignis-ID: 4688 abrufen und sie mit dem Index in Splunk aufnehmen win_eventlogs zur weiteren Untersuchung.
Informationen zum Netzwerk
Das Netzwerk ist in drei logische Segmente unterteilt. Es wird bei der Untersuchung hilfreich sein.
IT Abteilung
- James
- Moin
- Katrina
Personalabteilung
- Haroon
- Chris
- Diana
Marketingabteilung
- Glocke
- Amelia
- Deepak
Antworten auf die Herausforderungen
Warnung vor Betrügern: In den Protokollen scheint ein Betrügerkonto zu erkennen zu sein. Wie lautet der Name dieses Benutzers?
Bei welchem Benutzer aus der Personalabteilung wurde die Ausführung geplanter Aufgaben beobachtet?
Welcher Benutzer aus der Personalabteilung hat einen Systemprozess (LOLBIN) ausgeführt, um eine Nutzlast von einem Filesharing-Host herunterzuladen?
Um die Sicherheitskontrollen zu umgehen, welcher Systemprozess (lolbin) wurde verwendet, um eine Nutzlast aus dem Internet herunterzuladen?
An welchem Datum wurde diese Binärdatei vom infizierten Host ausgeführt? Format (JJJJ-MM-TT)
Auf welche Website eines Drittanbieters wurde zugegriffen, um die schädliche Nutzlast herunterzuladen?
Wie lautet der Name der Datei, die auf dem Host-Rechner gespeichert wurde vom C2 Server während der Post-Exploitation-Phase?
Die verdächtige Datei wurde heruntergeladen von C2 Der Server enthielt schädliche Inhalte mit dem Muster THM{……….}. Was ist das für ein Muster?
Mit welcher URL hat sich der infizierte Host verbunden?