Premisa
En este tutorial en vídeo, cubrimos la investigación de ataques USB de malware/ransomware con Splunk para desencadenar artefactos relacionados con la naturaleza del incidente. Esta capacitación es parte de las preguntas de la serie Splunk SIEM Boss de SOC v2 300.
Obtenga notas de campo de Splunk
Preguntas y respuestas sobre la habitación
Hay un archivo de la película Juegos de Tronos que también fue cifrado. ¿Qué temporada y episodio es?
Kevin Lagerfield usó una unidad USB para mover malware a kutekitten, la MacBook personal de Mallory. Ella ejecutó el malware, que se ofusca durante la ejecución. Proporcione el nombre del proveedor de la unidad USB que probablemente usó Kevin. Guía de respuesta: utilice la correlación de tiempo para identificar la unidad USB.
¿En qué lenguaje de programación está escrita al menos parte del malware de la pregunta anterior?
¿Cuándo se vio por primera vez este malware en la naturaleza? Guía de respuesta: AAAA-MM-DD
El malware que infecta kutekitten utiliza destinos DNS dinámicos para comunicarse con dos servidores C&C poco después de la instalación. ¿Cuál es el nombre de dominio completo (FQDN) del primero (alfabéticamente) de estos destinos?
De la pregunta anterior, ¿cuál es el nombre de dominio completo (FQDN) del segundo servidor C&C contactado (alfabéticamente)?