Introduction
Nous avons couvert l'enquête sur une machine Windows infectée à l'aide de Splunk. Nous avons étudié les journaux d'événements Windows et plus particulièrement les événements d'exécution de processus. Cela faisait partie de TryHackMe bénin
Nous examinerons les journaux centrés sur l'hôte dans cette salle de défi pour détecter l'exécution de processus suspects. Pour en savoir plus sur Splunk et comment enquêter sur les journaux, consultez les salles splunk101 et splunk201.
L'un des clients ID a indiqué une exécution de processus potentiellement suspecte indiquant qu'un des hôtes du service RH était compromis. Certains outils liés à la collecte d'informations sur le réseau/tâches planifiées ont été exécutés, ce qui a confirmé les soupçons. En raison de ressources limitées, nous n'avons pu extraire que les journaux d'exécution de processus avec l'ID d'événement : 4688 et les ingérer dans Splunk avec l'index win_eventlogs pour une enquête plus approfondie.
À propos des informations sur le réseau
Le réseau est divisé en trois segments logiques. Cela aidera à l'enquête.
Département IT
- James
- Moi
- Katrina
départements des ressources humaines
- Haroon
- Chris
- Diane
Département commercial
- Cloche
- Amélie
- Deepak
Réponses au défi
Alerte imposteur : il semble y avoir un compte imposteur observé dans les journaux, quel est le nom de cet utilisateur ?
Quel utilisateur du service RH a été observé en train d'exécuter des tâches planifiées ?
Quel utilisateur du service RH a exécuté un processus système (LOLBIN) pour télécharger une charge utile à partir d'un hôte de partage de fichiers.
Pour contourner les contrôles de sécurité, quel processus système (lolbin) a été utilisé pour télécharger une charge utile depuis Internet ?
Quelle est la date à laquelle ce binaire a été exécuté par l’hôte infecté ? format (AAAA-MM-JJ)
Quel site tiers a été consulté pour télécharger la charge utile malveillante ?
Quel est le nom du fichier enregistré sur la machine hôte à partir du C2 serveur pendant la phase post-exploitation ?
Le fichier suspect téléchargé depuis le C2 le serveur contenait du contenu malveillant avec le modèle THM{……….} ; c'est quoi ce modèle ?
Quelle est l’URL à laquelle l’hôte infecté s’est connecté ?