در پی اعلام تیم SOC مبنی بر شناسایی فعالیتهای مشکوک بر روی سیستم یکی از Developerهای سازمان، تیم پاسخگویی به حادثه (Incident Response) به سیستم مذکور مراجعه کرده و فرآیند بررسی فنی را آغاز میکند.
در جریان این بررسی، فایلهای Sysmon log سیستم مورد تحلیل قرار میگیرند. تحلیل اولیه این لاگها نشاندهنده شواهدی از دسترسی غیرمجاز نفوذگر به سیستم و آغاز فعالیتهای Post-Exploitation میباشد.
این شواهد شامل اجرای فرآیندهای مشکوک، رفتارهای غیرعادی و استفاده از ابزارها یا دستورات سیستمی است که با الگوی کاری عادی کاربر همخوانی ندارند.
تمام اطلاعات بهدستآمده از بررسیهای اولیه، شامل لاگ Sysmon، در اختیار شما قرار گرفته است. وظیفه شما در این چالش، تحلیل این دادهها و پاسخ به سؤالات زیر میباشد:
مشکل امنیتی رخداده چیست و نفوذگر چگونه به سیستم دسترسی پیدا کرده است؟
چه شواهدی در Sysmon نشاندهنده انجام Post-Exploit Activity هستند؟
نفوذگر پس از دسترسی اولیه، چه اقداماتی را بر روی سیستم انجام داده است؟
در ادامه چالش، از شما انتظار میرود با بررسی مقادیر ورودی، پارامترها و رفتار فرآیندها، اقدام به بازسازی دستورات نفوذگر نمایید. لازم به ذکر است که در برخی موارد، دستور نهایی بهصورت مستقیم در لاگها ثبت نشده است.
بهعنوان مثال، ممکن است نفوذگر دستوری را اجرا کرده باشد که خروجی آن نمایش جدول ARP سیستم است، اما به هر دلیل دستور صریح arp -a در لاگ Sysmon مشاهده نشود. در چنین شرایطی، شما باید با تحلیل رفتار ثبتشده، آرگومانها، یا فرآیندهای وابسته، تشخیص دهید که هدف نفوذگر اجرای چه دستوری بوده است و پاسخ خود را بر اساس دستور نهایی استنتاجشده ارائه دهید (در این مثال، فلگ مورد انتظار arp -a خواهد بود).
این چالش با هدف تقویت مهارتهای تحلیل Sysmon، بازسازی رفتار مهاجم، شناسایی فعالیتهای Post-Exploitation، و استنتاج دستورات اجراشده بر اساس شواهد غیرمستقیم طراحی شده است و شرکتکنندگان را به تفکر تحلیلی و مبتنی بر شواهد سوق میدهد.
درصد پیشرفت حل چالش
0%
