introduzione
Abbiamo trattato l'indagine su un incidente informatico con Splunk. Abbiamo analizzato gli eventi generati sui computer Windows compromessi e scoperto gli artefatti dell'attacco. Questo faceva parte ProvaHackMe Indagando con Splunk
Scenario
SOC Analista Johny ha osservato alcuni comportamenti anomali nei log di alcune macchine Windows. Sembra che l'avversario abbia accesso ad alcune di queste macchine e abbia creato con successo alcune backdoor. Il suo manager gli ha chiesto di estrarre i registri da host sospetti e di inserirli in Splunk per un'indagine rapida. Il nostro compito come SOC L'analista deve esaminare i registri e identificare le anomalie.
Risposte alle sfide
Su uno degli host infetti l'aggressore è riuscito a creare un utente backdoor. Qual è il nuovo nome utente?
Sullo stesso host è stata aggiornata anche una chiave di registro relativa al nuovo utente backdoor. Qual è il percorso completo di quella chiave di registro?
Esaminare i log e identificare l'utente che l'avversario stava tentando di impersonare.
Qual è il comando utilizzato per aggiungere un utente backdoor da un computer remoto?
Quante volte è stato osservato il tentativo di accesso da parte dell'utente backdoor durante l'indagine?
Qual è il nome dell'host infetto su cui sono stati eseguiti comandi Powershell sospetti?
PowerShell la registrazione è abilitata su questo dispositivo. Quanti eventi sono stati registrati per l'esecuzione dannosa di PowerShell?
Uno script PowerShell codificato dell'host infetto ha avviato una richiesta web. Qual è l'URL completo?