introduzione

Abbiamo trattato l'indagine su un computer Windows infetto utilizzando Splunk. Abbiamo analizzato i registri eventi di Windows ed elaborato in modo specifico gli eventi di esecuzione. Questo faceva parte ProvaHackMe Benign

Esamineremo i log incentrati sull'host in questa sala sfide per individuare l'esecuzione di processi sospetti. Per saperne di più su Splunk e su come analizzare i log, guarda le stanze splunk101 E splunk201.

Uno dei clienti ID ha indicato un'esecuzione del processo potenzialmente sospetta che indicava che uno degli host del dipartimento Risorse umane era stato compromesso. Sono stati eseguiti alcuni strumenti relativi alla raccolta di informazioni di rete/attività pianificate che hanno confermato il sospetto. A causa delle risorse limitate, abbiamo potuto estrarre solo i log di esecuzione del processo con ID evento: 4688 e inserirli in Splunk con l'indice win_eventlogs per ulteriori indagini.

Informazioni sulle informazioni di rete

La rete è divisa in tre segmenti logici. Aiuterà nelle indagini.

Dipartimento IT

  • Giacomo
  • Moin
  • Caterina

Dipartimento delle Risorse Umane

  • Haroon
  • Chris
  • Diana

Ufficio marketing

  • Campana
  • Amelia
  • Deepak

 

Note sul campo SIEM Splunk

 

Risposte alle sfide

Quanti log vengono importati dal mese di marzo?

Avviso impostore: sembra che nei registri sia stato osservato un account impostore, qual è il nome di quell'utente?

Quale utente del reparto Risorse umane è stato osservato mentre eseguiva attività pianificate?

Quale utente del reparto Risorse umane ha eseguito un processo di sistema (LOLBIN) per scaricare un payload da un host di condivisione file.

Per aggirare i controlli di sicurezza, quale processo di sistema (lolbin) è stato utilizzato per scaricare un payload da Internet?

Qual è stata la data in cui questo file binario è stato eseguito dall'host infetto? formato (AAAA-MM-GG)

A quale sito di terze parti è stato effettuato l'accesso per scaricare il payload dannoso?

Qual è il nome del file che è stato salvato sul computer host dal file C2 server durante la fase post-sfruttamento?

Il file sospetto scaricato da C2 il server conteneva contenuti dannosi con il pattern THM{……….}; qual è questo schema?

Qual è l'URL a cui si è connesso l'host infetto?

Videoprocedura dettagliata

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli