Introduction

Nous avons couvert l'enquête sur une machine Windows infectée à l'aide de Splunk. Nous avons étudié les journaux d'événements Windows et plus particulièrement les événements d'exécution de processus. Cela faisait partie de TryHackMe bénin

Nous examinerons les journaux centrés sur l'hôte dans cette salle de défi pour détecter l'exécution de processus suspects. Pour en savoir plus sur Splunk et comment enquêter sur les journaux, consultez les salles splunk101 et splunk201.

L'un des clients ID a indiqué une exécution de processus potentiellement suspecte indiquant qu'un des hôtes du service RH était compromis. Certains outils liés à la collecte d'informations sur le réseau/tâches planifiées ont été exécutés, ce qui a confirmé les soupçons. En raison de ressources limitées, nous n'avons pu extraire que les journaux d'exécution de processus avec l'ID d'événement : 4688 et les ingérer dans Splunk avec l'index win_eventlogs pour une enquête plus approfondie.

À propos des informations sur le réseau

Le réseau est divisé en trois segments logiques. Cela aidera à l'enquête.

Département IT

  • James
  • Moi
  • Katrina

départements des ressources humaines

  • Haroon
  • Chris
  • Diane

Département commercial

  • Cloche
  • Amélie
  • Deepak

 

Notes de terrain Splunk SIEM

 

Réponses au défi

Combien de logs sont ingérés à partir du mois de mars ?

Alerte imposteur : il semble y avoir un compte imposteur observé dans les journaux, quel est le nom de cet utilisateur ?

Quel utilisateur du service RH a été observé en train d'exécuter des tâches planifiées ?

Quel utilisateur du service RH a exécuté un processus système (LOLBIN) pour télécharger une charge utile à partir d'un hôte de partage de fichiers.

Pour contourner les contrôles de sécurité, quel processus système (lolbin) a été utilisé pour télécharger une charge utile depuis Internet ?

Quelle est la date à laquelle ce binaire a été exécuté par l’hôte infecté ? format (AAAA-MM-JJ)

Quel site tiers a été consulté pour télécharger la charge utile malveillante ?

Quel est le nom du fichier enregistré sur la machine hôte à partir du C2 serveur pendant la phase post-exploitation ?

Le fichier suspect téléchargé depuis le C2 le serveur contenait du contenu malveillant avec le modèle THM{……….} ; c'est quoi ce modèle ?

Quelle est l’URL à laquelle l’hôte infecté s’est connecté ?

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles