banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

hackthebox sherlocksのLogjammer記録

image

[!hint]+ シナリオ
あなたは大手コンサルティング会社で初級デジタルフォレンジックおよびインシデントレスポンス(DFIR)コンサルタントとしての機会を得ました。しかし、彼らはあなたに完了する必要がある技術評価タスクを提供しています。Forela-Security コンサルティング会社は、あなたの Windows イベントログ分析の習熟度をテストしたいと考えています。私たちは、Cyberjunkie ユーザーが彼のコンピュータにログインし、悪意のある操作を実行した可能性があると推測しています。提供されたイベントログを分析し、その結果を私たちに報告してください。

ツール:event log explorer

Task1 cyberjunkie がコンピュータに初めて成功裏にログインしたのはいつですか?(UTC 時間)

ログインのイベント ID は:4624、この ID をフィルタリングします。

image

event log explorer ログ分析

image

2023 年 3 月 27 日 22:37:09、タイムゾーンがあるため、8 を引く必要があります(東八区)、つまり 2023 年 3 月 27 日 14:37:09 です。

Task2 ユーザーがシステムのファイアウォール設定を無断で変更しました。ファイアウォールのイベントログを確認することで、新しく追加されたファイアウォールルールの名前を特定できます。

ファイアウォールログを開くと見ることができます。

Metasploit C2 Bypass

image

Task3 ファイアウォールルールはどのようにそのトラフィックの方向を定義していますか?

2004 をフィルタリングするだけです。

image

image

Outbound(出発)

Task4 ユーザーはコンピュータの監査ポリシーを調整しました。この調整はどのサブカテゴリに属しますか?

image

4719 をフィルタリングします。つまり、Other Object Access Eventsです。

Task5 cyberjunkie はスケジュールされたタスクを作成しました。このタスクの名前は何ですか?

セキュリティイベントでタスクスケジュールを作成するイベント ID は 4698 です。

image

HTB-AUTOMATION

Task6 タスクに割り当てられたファイルの完全なパスは何ですか?

同上

C:\Users\CyberJunkie\Desktop\Automation-HTB.ps1

image

Task7 コマンドのパラメータにはどのような内容が含まれていますか?

同上

-A [email protected]

Task8 システムのアンチウイルスソフトウェアが潜在的な危険を発見し、適切な措置を講じました。どのツールがアンチウイルスソフトウェアによって悪意のあるプログラムと判断されたのでしょうか?

windows defender の検出ログを開いて検出記録を確認し、イベント ID は 1117 です。

SharpHound ファイルを見つけることができます。

image

Task9 アラートを引き起こしたマルウェアの完全なパスは何ですか?

同上

C:\Users\CyberJunkie\Downloads\SharpHound-v1.1.0.zip

Task10 アンチウイルスソフトウェアはどのような措置を講じましたか?

同上

Quarantine

image

Task11 ユーザーは Powershell を使用してコマンドを実行しました。具体的にどのコマンドが実行されましたか?

powershell ログ、コマンドを実行したイベント ID は 4104 です。

Get-FileHash -Algorithm md5 .\Desktop\Automation-HTB.ps1

image

Task12 私たちはユーザーが特定のイベントログを削除したのではないかと疑っています。どのイベントログファイルがクリアされましたか?

システムログを確認します。

image

Microsoft-Windows-Windows Firewall With Advanced Security/Firewall

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。