Проєкт #1: Домашня лабораторія з кібербезпеки: Частина 7.5

Як генерувати телеметрію:

• У цій частині я буду на цільовій машині (Windows) і завантажу шкідливе програмне забезпечення через веб-браузер
• Мені потрібно вимкнути захист в реальному часі від Windows Defender

• Далі я відкриваю веб-браузер і в рядок пошуку вводжу IP-адресу Kali машини з номером порту 9999.

Я бачу "замасковане" завантаження, Resume.pdf.exe

• Після того як завантажу, все, що залишиться — це виконати шкідливе програмне забезпечення, клацнувши по ньому в Провіднику файлів
• Windows продовжить намагатися захистити систему (що добре), але я просто натискатиму "Виконати" безперервно

• Шкідливе програмне забезпечення повинно було виконатися
• Для того, щоб переконатися, я відкриваю командний рядок з правами адміністратора і використовую команду “netstat -anob”
• -a: Показує всі підключення і порти, що слухають
• -n: Показує адреси і номери портів у числовому форматі (без резолюції DNS)
• -o: Показує ідентифікатор процесу (PID), що відповідає кожному з’єднанню
• -b: Показує ім’я виконуваної програми (програми), яка використовує з’єднання або порт
• Я намагаюся знайти встановлене з’єднання з атакуючою машиною (Kali)

• Як видно, я знайшов його. Існує встановлене з’єднання з 192.168.20.11 на порту 4444 і з ідентифікатором процесу 7968
• Я також можу побачити цей процес у Диспетчері задач в вкладці "Деталі", використовуючи ідентифікатор процесу. Як видно нижче.

• Тепер, коли я повернувся до Kali і подивився на хендлер, я повинен побачити відкриту оболонку.
• Я можу сказати, що це так, оскільки командний рядок змінився на meterpreter

• Якщо я введу команду “help”, вона покаже, які команди доступні.
• Команда “shell” встановить оболонку на цільовій машині
• Ви також помітите, що після введення команди shell, командний рядок змінюється і тепер він відображає точний вигляд, який був би, якби я був оригінальним користувачем на Windows машині

• Тепер я можу відправляти команди на цільову машину
• Я ввів команди “net user”, “net localgroup” та “ipconfig”, щоб побачити, яку інформацію вони мені нададуть.
• Усі команди успішно виконалися на цільовій машині

• Тепер, щоб побачити, яку телеметрію згенерувала ця активність, я повертаюся до Windows цільової машини.
• Перш ніж використовувати Splunk, я маю переконатися, що воно налаштоване правильно для збору журналів Sysmon
• Для цього потрібно знайти Splunk у програмних файлах на диску C в Провіднику файлів
• Як тільки я його знайду, потрібно відкрити і перейти до файлу “etc”
• Потім відкрити файл “system”
• Далі — файл “local”
• Я не бачу файлу inputs.conf, тому мені потрібно скопіювати його з папки “default”.
  Як тільки скопійовано, це має бути локальний файл.

• Далі мені потрібно відредагувати файл inputs.conf, щоб переконатися, що Sysmon налаштований у моєму файлі inputs.conf Splunk, щоб його можна було правильно імпортувати.
• Я просто відкриваю і редагую його в Notepad
• Я використовую відредагований файл inputs.conf мого інструктора як орієнтир, і просто скопіював відредаговану частину до мого файлу inputs.conf на цільовій машині
• Потім я зберігаю файл (також довелося зберігати його, запустивши Notepad з правами адміністратора)

• Після цього я маю переконатися, що все налаштовано правильно, перезавантаживши свої служби
• Для цього я просто набираю “services” у рядку пошуку Windows
• Шукаю “SplunkdService”, потім клацаю правою кнопкою миші і вибираю “перезавантажити”

• Як тільки служба Splunkd буде перезавантажена, мені потрібно створити індекс з назвою “endpoint”
• Індекси — це бази даних, в яких зберігаються події (журнали). Вони допомагають організувати та прискорити пошук, щоб можна було швидко знайти й отримати потрібні дані.
• Приклад використання: замість того, щоб шукати у всіх журналах, ви шукаєте в конкретному індексі, як-от “weblogs” або “firewalllogs”
• Уявіть індекс як файлозбірник. Кожен індекс — це шухляда, помічена певним типом даних, що полегшує швидкий пошук необхідного.
• Причина цього в тому, що в файлі inputs.conf (як видно вище) я фактично сказав Splunk дивитися на щось на кшталт “Windows-Sysmon/Operational” і передавати всі події в “index = endpoint”
• Оскільки в моєму Splunk ще немає індексу з назвою endpoint, Splunk не буде знати, що робити з подіями Sysmon
• Тому мені потрібно відкрити Splunk у веб-браузері і ввести “localhost:8000” та увійти
• Після входу мені потрібно перейти до налаштувань на верхній панелі
• Я клацаю на “Indexes” в розділі Data

• Це приведе мене на сторінку Індексів, де потрібно натискати зелену кнопку "New Index"
• Як видно, вже є 15 індексів

• Натискання кнопки New Index відкриє вікно створення нового індексу
• Для назви індексу я просто ввожу “endpoint”
• Залишаю все за замовчуванням і натискаю зберегти внизу
• Тепер має бути 16 індексів, і для перевірки, що він створений, потрібно знайти його в списку та переконатися, що він не вимкнений

• Тепер я переходжу до програми Search and Reporting, я знаходжу її, натискаючи на випадаюче меню Apps у верхній частині

• Як тільки я потрапляю туди, мене перенаправляє на сторінку пошуку, де я можу переглядати журнали
• В рядку пошуку я набираю “index=endpoint”
• Це виводить близько 90 подій, які були сортувані в індекс endpoint
• Це підтверджує, що дані імпортуються

• Sysmon не розбирається автоматично, тому мені потрібно завантажити додаток у Splunk, який допоможе мені розібрати дані Sysmon.
• Це означає, що коли журнали Sysmon надсилаються в Splunk, Splunk за замовчуванням не знає, як розібрати та позначити важливі деталі (такі як типи подій, часові мітки, імена файлів тощо)
• Це процес "розбору".
  Це процес розбиття сирих журналів на структуровані поля (як-от "Користувач", "Назва процесу", "ID події"), щоб їх було зручно шукати та аналізувати в Splunk.
• Тому, щоб завантажити додаток, я просто натискаю на випадаюче меню App у верхній частині ще раз
• Потім вибираю “Find More Apps”
• В рядку пошуку я набираю “sysmon”
• Перший додаток, який з’являється на самому верху, це той, який мені потрібно завантажити
• Додаток називається “Splunk Add-on for Sysmon”
• Потім я просто натискаю Install

• Тепер я мав зробити це раніше. Мені довелося переключитися назад на NAT, щоб я міг його завантажити.
• Тепер я можу перейти до аналізу згенерованої телеметрії

Перекладено з: Project #1: Cybersecurity Homelab: Part 7.5