Einführung
Wir haben die Untersuchung eines Cyber-Vorfalls mit Splunk behandelt. Wir haben die auf kompromittierten Windows-Rechnern generierten Ereignisse untersucht und die Angriffsartefakte aufgedeckt. Dies war Teil von TryHackMe-Untersuchung mit Splunk
Szenario
SOC Analytiker Johny hat in den Protokollen einiger Windows-Rechner ein anomales Verhalten festgestellt. Es sieht so aus, als hätte der Angreifer Zugriff auf einige dieser Rechner und hat erfolgreich eine Hintertür erstellt. Sein Manager hat ihn gebeten, diese Protokolle von verdächtigen Hosts abzurufen und sie zur schnellen Untersuchung in Splunk aufzunehmen. Unsere Aufgabe als SOC Der Analyst soll die Protokolle untersuchen und die Anomalien identifizieren.
Antworten auf die Herausforderungen
Auf einem der infizierten Hosts gelang es dem Angreifer, einen Backdoor-Benutzer zu erstellen. Wie lautet der neue Benutzername?
Auf demselben Host wurde auch ein Registrierungsschlüssel bezüglich des neuen Backdoor-Benutzers aktualisiert. Wie lautet der vollständige Pfad dieses Registrierungsschlüssels?
Untersuchen Sie die Protokolle und identifizieren Sie den Benutzer, dessen Identität der Angreifer zu imitieren versuchte.
Welcher Befehl wird verwendet, um einen Backdoor-Benutzer von einem Remotecomputer hinzuzufügen?
Wie oft wurden im Rahmen der Untersuchung Anmeldeversuche des Backdoor-Benutzers beobachtet?
Wie lautet der Name des infizierten Hosts, auf dem verdächtige Powershell-Befehle ausgeführt wurden?
Power Shell Die Protokollierung ist auf diesem Gerät aktiviert. Wie viele Ereignisse wurden für die bösartige PowerShell-Ausführung protokolliert?
Ein codiertes Powershell-Skript vom infizierten Host hat eine Web-Anfrage initiiert. Wie lautet die vollständige URL?
