در این چالش، یک سناریوی مبتنی بر نقض سیاستهای امنیتی سازمانی شبیهسازی شده است.
بر اساس سیاستهای امنیتی پیادهسازیشده در سازمان، اجرای Command Prompt (cmd.exe) برای کاربران عادی محدود و غیرفعال شده است. این محدودیت بهمنظور کاهش ریسک اجرای دستورات مخرب، سوءاستفادههای داخلی و حملات پس از نفوذ اعمال شده است.
با این حال، شواهد نشان میدهد که یکی از کاربران سازمان موفق شده است این محدودیت را دور بزند (Bypass) و با استفاده از روشهای مختلف، اقدام به اجرای cmd و دستورات خط فرمان نماید. این رفتار میتواند ناشی از ضعف در پیادهسازی Group Policy، سوءاستفاده از ابزارهای سیستمی (LOLBins) یا تکنیکهای اجرای غیرمستقیم دستورات باشد.
در حال حاضر، فایل لاگ مربوط به سیستم این کاربر در اختیار شما قرار گرفته است. این لاگ شامل رویدادهایی است که میتوانند سرنخهایی از نحوه دور زدن سیاستها، ابزارهای استفادهشده و توالی اقدامات کاربر ارائه دهند.
وظیفه شما در این چالش، تحلیل دقیق لاگها و پاسخ به موارد زیر است:
کاربر از چه روشها یا ابزارهایی برای اجرای cmd استفاده کرده است؟
آیا اجرای دستورات بهصورت مستقیم بوده یا از مسیرهای غیرمستقیم (مانند PowerShell، Run keys، Script Host، یا ابزارهای سیستمی دیگر) انجام شده است؟
کدام رویدادها نشاندهنده Bypass شدن سیاستهای امنیتی هستند؟
آیا نشانهای از سوءنیت، اجرای دستورات غیرمجاز یا آمادهسازی برای مراحل بعدی حمله در لاگها مشاهده میشود؟
این چالش با هدف تقویت مهارتهای تحلیل لاگ، شناسایی رفتارهای مشکوک، و درک تکنیکهای Policy Evasion طراحی شده است و شرکتکنندگان را با نحوه کشف تخطی از سیاستهای امنیتی در محیطهای سازمانی آشنا میکند.
درصد پیشرفت حل چالش
0%
