Einführung

Wir haben die Untersuchung einer infizierten Windows-Maschine mit Splunk behandelt. Wir haben Windows-Ereignisprotokolle und insbesondere Prozessausführungsereignisse untersucht. Dies war Teil von TryHackMe Gutartig

Wir werden in diesem Challenge-Raum hostzentrierte Protokolle untersuchen, um verdächtige Prozessausführungen zu finden. Weitere Informationen zu Splunk und zur Untersuchung der Protokolle finden Sie in den Räumen splunk101 Und splunk201.

Einer der Kunden IDS zeigte eine potenziell verdächtige Prozessausführung an, die darauf hindeutete, dass einer der Hosts der Personalabteilung kompromittiert wurde. Einige Tools im Zusammenhang mit der Erfassung von Netzwerkinformationen / geplanten Aufgaben wurden ausgeführt, was den Verdacht bestätigte. Aufgrund begrenzter Ressourcen konnten wir nur die Prozessausführungsprotokolle mit der Ereignis-ID: 4688 abrufen und sie mit dem Index in Splunk aufnehmen win_eventlogs zur weiteren Untersuchung.

Informationen zum Netzwerk

Das Netzwerk ist in drei logische Segmente unterteilt. Es wird bei der Untersuchung hilfreich sein.

IT Abteilung

  • James
  • Moin
  • Katrina

Personalabteilung

  • Haroon
  • Chris
  • Diana

Marketingabteilung

  • Glocke
  • Amelia
  • Deepak

 

Splunk SIEM-Feldnotizen

 

Antworten auf die Herausforderungen

Wie viele Protokolle werden aus dem Monat März aufgenommen?

Warnung vor Betrügern: In den Protokollen scheint ein Betrügerkonto zu erkennen zu sein. Wie lautet der Name dieses Benutzers?

Bei welchem Benutzer aus der Personalabteilung wurde die Ausführung geplanter Aufgaben beobachtet?

Welcher Benutzer aus der Personalabteilung hat einen Systemprozess (LOLBIN) ausgeführt, um eine Nutzlast von einem Filesharing-Host herunterzuladen?

Um die Sicherheitskontrollen zu umgehen, welcher Systemprozess (lolbin) wurde verwendet, um eine Nutzlast aus dem Internet herunterzuladen?

An welchem Datum wurde diese Binärdatei vom infizierten Host ausgeführt? Format (JJJJ-MM-TT)

Auf welche Website eines Drittanbieters wurde zugegriffen, um die schädliche Nutzlast herunterzuladen?

Wie lautet der Name der Datei, die auf dem Host-Rechner gespeichert wurde vom C2 Server während der Post-Exploitation-Phase?

Die verdächtige Datei wurde heruntergeladen von C2 Der Server enthielt schädliche Inhalte mit dem Muster THM{……….}. Was ist das für ein Muster?

Mit welcher URL hat sich der infizierte Host verbunden?

Video-Komplettlösung

, ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen