پاسخگویی به حادثه - Execution PowerShell

یکی از فرآیندهای مهم در امنیت، پاسخگویی به حادثه یا Incident Response است. آشنایی با این فرآیند و نکات مربوط به آن، می‌تواند در هنگام مواجهه با حوادث، به ما کمک شایانی نماید. چالش جاری بدین منظور ایجاد شده است.

فرض کنید در یک شرکت به عنوان تیم پاسخگویی به حادثه مشغول به کار هستید. تیم امنیتی متوجه فعالیت‌های غیرعادی در یکی از سیستم‌های کارمندان می‌شود. یک گزارش از تیم شبکه نشان می‌دهد که ترافیک مشکوکی از یکی از سیستم‌های ویندوز به یک سرور خارجی ارسال شده است. شما مأمور شده اید تا این موضوع را بررسی نموده و شواهد احتمالی را جمع‌آوری و تحلیل نمایید.

سیستم مورد بررسی یک سیستم ویندوز ۱۰ است که در شبکه داخلی شرکت فعالیت می‌کند. بر اساس لاگ‌های اولیه، به نظر می‌رسد که یک فایل مخرب بر روی سیستم اجرا شده و با استفاده از PowerShell، اطلاعات حساسی را به یک سرور ناشناخته ارسال کرده است.

فردی که اولین بار مشکل را مشاهده نموده است، آشنایی‌های اولیه با مباحث امنیت و مانیتورینگ داشته است و همچنین با توجه به علاقمندی که به مباحث فارنزیک داشته، دوره‌های مختلف در این زمینه را گذرانده بوده است. این فرد در هنگام مشاهده مشکل، لاگ‌های مربوط به Security و Sysmon را ذخیره نموده و همچنین از فولدرهای مشکوک با استفاده از ابزار FTK Imager، یک Image تهیه نموده است.

شما می‌بایست این اطلاعات را بررسی نموده و به سوالات زیر پاسخ دهید: