Introducción
Cubrimos la investigación de un incidente cibernético con Splunk. Investigamos los eventos generados en máquinas con Windows comprometidas y descubrimos los artefactos del ataque. Esto fue parte de TryHackMe Investigando con Splunk
Guión
SOC Analista Johny ha observado algunos comportamientos anómalos en los registros de algunas máquinas con Windows. Parece que el adversario tiene acceso a algunas de estas máquinas y creó con éxito alguna puerta trasera. Su gerente le pidió que extraiga esos registros de hosts sospechosos y los ingiera en Splunk para una investigación rápida. nuestra tarea como SOC El analista debe examinar los registros e identificar las anomalías.
Respuestas al desafío
En uno de los hosts infectados, el adversario logró crear un usuario de puerta trasera. ¿Cuál es el nuevo nombre de usuario?
En el mismo host, también se actualizó una clave de registro relacionada con el nuevo usuario de puerta trasera. ¿Cuál es la ruta completa de esa clave de registro?
Examine los registros e identifique al usuario que el adversario intentaba hacerse pasar.
¿Cuál es el comando utilizado para agregar un usuario de puerta trasera desde una computadora remota?
¿Cuántas veces se observó el intento de inicio de sesión del usuario de puerta trasera durante la investigación?
¿Cuál es el nombre del host infectado en el que se ejecutaron comandos sospechosos de Powershell?
Potencia Shell El registro está habilitado en este dispositivo. ¿Cuántos eventos se registraron para la ejecución maliciosa de PowerShell?
Un script Powershell codificado del host infectado inició una solicitud web. ¿Cuál es la URL completa?