[!hint]+ シナリオ
あなたは大手コンサルティング会社で初級デジタルフォレンジックおよびインシデントレスポンス(DFIR)コンサルタントとしての機会を得ました。しかし、彼らはあなたに完了する必要がある技術評価タスクを提供しています。Forela-Security コンサルティング会社は、あなたの Windows イベントログ分析の習熟度をテストしたいと考えています。私たちは、Cyberjunkie ユーザーが彼のコンピュータにログインし、悪意のある操作を実行した可能性があると推測しています。提供されたイベントログを分析し、その結果を私たちに報告してください。
Task1 cyberjunkie がコンピュータに初めて成功裏にログインしたのはいつですか?(UTC 時間)
ログインのイベント ID は:4624、この ID をフィルタリングします。
event log explorer ログ分析
2023 年 3 月 27 日 22:37:09、タイムゾーンがあるため、8 を引く必要があります(東八区)、つまり 2023 年 3 月 27 日 14:37:09 です。
Task2 ユーザーがシステムのファイアウォール設定を無断で変更しました。ファイアウォールのイベントログを確認することで、新しく追加されたファイアウォールルールの名前を特定できます。
ファイアウォールログを開くと見ることができます。
Metasploit C2 Bypass
Task3 ファイアウォールルールはどのようにそのトラフィックの方向を定義していますか?
2004 をフィルタリングするだけです。
Outbound(出発)
Task4 ユーザーはコンピュータの監査ポリシーを調整しました。この調整はどのサブカテゴリに属しますか?
4719 をフィルタリングします。つまり、Other Object Access Eventsです。
Task5 cyberjunkie はスケジュールされたタスクを作成しました。このタスクの名前は何ですか?
セキュリティイベントでタスクスケジュールを作成するイベント ID は 4698 です。
HTB-AUTOMATION
Task6 タスクに割り当てられたファイルの完全なパスは何ですか?
同上
C:\Users\CyberJunkie\Desktop\Automation-HTB.ps1
Task7 コマンドのパラメータにはどのような内容が含まれていますか?
同上
Task8 システムのアンチウイルスソフトウェアが潜在的な危険を発見し、適切な措置を講じました。どのツールがアンチウイルスソフトウェアによって悪意のあるプログラムと判断されたのでしょうか?
windows defender の検出ログを開いて検出記録を確認し、イベント ID は 1117 です。
SharpHound ファイルを見つけることができます。
Task9 アラートを引き起こしたマルウェアの完全なパスは何ですか?
同上
C:\Users\CyberJunkie\Downloads\SharpHound-v1.1.0.zip
Task10 アンチウイルスソフトウェアはどのような措置を講じましたか?
同上
Quarantine
Task11 ユーザーは Powershell を使用してコマンドを実行しました。具体的にどのコマンドが実行されましたか?
powershell ログ、コマンドを実行したイベント ID は 4104 です。
Get-FileHash -Algorithm md5 .\Desktop\Automation-HTB.ps1
Task12 私たちはユーザーが特定のイベントログを削除したのではないかと疑っています。どのイベントログファイルがクリアされましたか?
システムログを確認します。
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall