Introducción

Cubrimos la investigación de una máquina con Windows infectada usando Splunk. Investigamos los registros de eventos de Windows y procesamos específicamente los eventos de ejecución. Esto fue parte de TryHackMe Benigno

Investigaremos los registros centrados en el host en esta sala de desafío para encontrar ejecuciones de procesos sospechosos. Para obtener más información sobre Splunk y cómo investigar los registros, consulte las salas. splunk101 y splunk201.

Uno de los clientes identificación indicó una ejecución de proceso potencialmente sospechosa que indicaba que uno de los hosts del departamento de recursos humanos estaba comprometido. Se ejecutaron algunas herramientas relacionadas con la recopilación de información de la red/tareas programadas, lo que confirmó la sospecha. Debido a recursos limitados, solo pudimos extraer los registros de ejecución del proceso con ID de evento: 4688 y los ingerimos en Splunk con el índice. win_eventlogs para una mayor investigación.

Acerca de la información de la red

La red se divide en tres segmentos lógicos. Ayudará en la investigación.

Departamento de TI

  • Jaime
  • menos
  • katrina

Departamento de Recursos Humanos

  • Haroon
  • cris
  • Diana

Departamento de Marketing

  • Campana
  • amelia
  • Deepak

 

Notas de campo de Splunk SIEM

 

Respuestas al desafío

¿Cuántos registros se ingieren del mes de marzo?

Alerta de impostor: Parece que se observa una cuenta de impostor en los registros, ¿cuál es el nombre de ese usuario?

¿Qué usuario del departamento de recursos humanos se observó que estaba ejecutando tareas programadas?

¿Qué usuario del departamento de recursos humanos ejecutó un proceso del sistema (LOLBIN) para descargar una carga útil desde un host para compartir archivos?

Para evitar los controles de seguridad, ¿qué proceso del sistema (lolbin) se utilizó para descargar una carga útil de Internet?

¿Cuál fue la fecha en que el host infectado ejecutó este binario? formato (AAAA-MM-DD)

¿A qué sitio de terceros se accedió para descargar la carga maliciosa?

¿Cuál es el nombre del archivo que se guardó en la máquina host desde el C2 servidor durante la fase posterior a la explotación?

El archivo sospechoso descargado del C2 el servidor contenía contenido malicioso con el patrón THM{……….}; ¿Cuál es ese patrón?

¿Cuál es la URL a la que se conectó el host infectado?

Tutorial en vídeo

, ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos