در این چالش، یک سناریوی مبتنی بر آلودگی از طریق تجهیزات قابلحمل (Removable Media) شبیهسازی شده است.
در جریان پایش امنیتی، رفتارهای مشکوکی بر روی یکی از سیستمهای سازمان شناسایی میشود. پس از گفتوگو با کاربر سیستم، مشخص میگردد که این رفتارها بلافاصله پس از اتصال یک تجهیز قابل حمل (فلشUSB) به سیستم آغاز شدهاند. کاربر اعلام میکند که پس از این اتصال، سیستم دچار اختلالاتی شده که پیش از آن سابقه نداشته است.
در حال حاضر، لاگهای ثبتشده روی سیستم قربانی در اختیار شما قرار دارد. بررسی اولیه لاگها نشان میدهد که بخشی از زنجیره حمله قابل شناسایی است، اما برای تکمیل پازل و رسیدن به نتیجه نهایی، به اطلاعاتی نیاز است که بر روی فلش کاربر وجود داشته است.
نکته چالشبرانگیز اینجاست که فولدری که به نظر میرسد نقطه آغاز حمله بوده، پس از اجرای موفقیتآمیز حمله رمز شده است. با این حال، هیچ شواهد مستقیمی از فرآیند رمزگذاری (مانند اجرای ابزارهای باجافزاری یا رویدادهای واضح رمزنگاری) در لاگهای سیستم مشاهده نمیشود؛ موضوعی که تحلیلگر را وادار میکند به دنبال سرنخها در خارج از سیستم عامل بگردد.
خبر خوب این است که شما فایلی حاوی اطلاعات مربوط به فلش USB در اختیار دارید.
این فایل شامل دادههایی است که میتواند به بازیابی اطلاعات از دسترفته و استخراج فلگ نهایی کمک کند.
اما برای دسترسی به محتوای این دادهها، یک مانع دیگر نیز وجود دارد. اطلاعات نهایی بهصورت یک فایل ZIP رمزدار در اختیار شما قرار گرفته است. جهت تکمیل تحلیل و استخراج فلگ، لازم است:
اطلاعات مربوط به فلش را تحلیل کنید.
سرنخهای لازم برای یافتن یا کرک کردن پسورد فایل ZIP را استخراج نمایید.
پس از باز کردن فایل، ارتباط آن با حمله انجامشده را مشخص کرده و پازل حمله را تکمیل کنید.
این چالش با هدف تقویت مهارتهای تحلیل لاگ، بررسی حملات مبتنی بر Removable Media، بازیابی شواهد رمزگذاریشده، و تحلیل فایلهای محافظتشده با رمز عبور طراحی شده است و شرکتکنندگان را وادار میکند تا زنجیره حمله را فراتر از لاگهای سیستم و با دیدی جامع بررسی کنند.
درصد پیشرفت حل چالش
0%
