Аналіз телеметрії:
- Після встановлення додатку Splunk для Sysmon, я повернувся до додатку Search and Reporting і почав аналізувати телеметрію, згенеровану машиною Kali.
- Знову ввів "index=endpoint" в полі пошуку.
- Цього разу з'явилося більше подій (2,725 подій).
- Я також помітив, що зліва додалися нові поля.
- Тепер були такі поля, як EventType, Process_id, TimeCreated тощо.
- Оскільки я завантажив цей додаток Sysmon після того, як провів сканування за допомогою Nmap і використовував Metasploit для виконання трьох команд (net user, net localgroup, ipconfig) і т.д., я збираюся повторити ці кроки і подивитися, яку телеметрію вони згенерують.
- Після того як я повторив ці кроки, я зробив запит на IP-адресу машини Kali в полі пошуку після index=endpoint.
У полях я бачу, що було націлено лише один порт призначення, а саме 4444.
- У реальному житті виникає кілька питань:
- "Чи має ця машина намагатися підключатися до цього порту?"
- "Що це за машина?"
- "Кому вона належить?"
- Тепер я перевірю, що згенерувало моє шкідливе ПЗ.
- У полі пошуку я ввів "index=endpoint Resume.pdf.exe".
- Як видно нижче, було згенеровано 13 подій.
Прокручуючи вниз і дивлячись на поля, я помітив, що було 6 кодів подій.
- Я натиснув на код події 1. Цифра 1 вказує на значення під стовпцем values.
- Натискання на неї переміщає подію на верх сторінки.
- Тепер я можу легко розгорнути подію і отримати більше деталей, натиснувши на стрілку вліво.
- У деталях я бачу, що батьківський процес "Resume.pdf.exe" запустив процес "cmd.exe" з ідентифікатором процесу 5848.
- Я можу використовувати ідентифікатор процесу для запиту моїх даних, щоб побачити, що цей командний рядок робив, шукаючи за цим ID через parent process ID. Але замість цього я буду використовувати process guid.
- Тому я скопіював parentprocessguid і вставив його в поле пошуку після index=endpoint.
- Як видно нижче, я отримав 6 подій.
- Якщо я додам "|table _time,ParentImage,Image,CommandLine" до запиту в полі пошуку, це дасть більш зрозумілий вигляд того, що саме зробив цей командний рядок.
- Як видно, батьківський образ "Resume.pdf.exe" запустив "cmd.exe", який у свою чергу виконав команди net user, net localgroup та ipconfig.
- Ось і все, я згенерував телеметрію, ідентифікував її, проаналізував і зміг точно знайти, що "зловмисник" намагався зробити на цільовій машині.
Перекладено з: Project #1: Cybersecurity Homelab: Part 8