چالش Splunk Warm-Up

چالشی که با آن روبرو هستید، بر پایه تحلیل رخدادهای امنیتی در سطح شبکه و سیستم طراحی شده است.

 

در ابتدای ماجرا، مهاجم با انجام فعالیت‌های شناسایی (Reconnaissance) در سطح شبکه تلاش می‌کند سرویس‌ها و سیستم‌های فعال را شناسایی کند. این مرحله معمولاً شامل اسکن شبکه، کشف پورت‌های باز و شناسایی سرویس‌هایی است که ممکن است در برابر حملات آسیب‌پذیر باشند. در لاگ‌های موجود در Splunk، شما می‌توانید نشانه‌هایی از مرحله شناسایی را در قالب حجم غیرعادی درخواست‌ها، تلاش برای اتصال به پورت‌های مختلف یا الگوهای مشکوک در ترافیک شبکه مشاهده کنید.

 

پس از شناسایی یکی از سرویس‌های فعال روی یک سیستم، مهاجم اقدام به اجرای حمله Brute Force برای به‌دست آوردن اطلاعات ورود می‌کند. این مرحله با تعداد زیاد تلاش‌های ناموفق برای ورود به سیستم همراه است تا در نهایت مهاجم موفق می‌شود نام کاربری و گذرواژه صحیح را پیدا کند. ردپای این فعالیت‌ها در لاگ‌های احراز هویت قابل مشاهده است و شما باید با جستجو در Splunk الگوهای تکراری تلاش برای ورود، خطاهای احراز هویت و در نهایت یک ورود موفق را شناسایی کنید.

 

در ادامه، مهاجم پس از ورود به سیستم، به دنبال افزایش سطح دسترسی (Privilege Escalation) می‌رود. در این سناریو، او موفق می‌شود به اطلاعات Credential دسترسی پیدا کرده و از آن‌ها برای گرفتن دسترسی ادمین استفاده کند. این مرحله معمولاً در لاگ‌های سیستم و امنیتی با تغییرات سطح دسترسی، استفاده از حساب‌های دارای امتیاز بالا یا دسترسی به فایل‌ها و فرآیندهای حساس قابل مشاهده است.

 

در مرحله نهایی، مهاجم با داشتن دسترسی مدیریتی اقدام به اجرای یک اسکریپت روی سیستم می‌کند تا اهداف خود را پیش ببرد. اجرای این اسکریپت می‌تواند در قالب ایجاد فرآیندهای جدید، اجرای دستورات خاص یا تغییر در سیستم ثبت شده باشد.

 

شما در این چالش باید با تحلیل و جستجو در داده‌های موجود در Splunk، زنجیره کامل حمله را از مرحله شناسایی تا اجرای اسکریپت بازسازی کرده و شواهد هر مرحله را از میان لاگ‌های مختلف سیستم و شبکه استخراج نمایید.

 

 

اطلاعات و نحوه اتصال به ماشین

 

پس از دانلود فایل چالش، آن را در نرم‌افزار VMware اجرا کنید.

 

بعد از راه‌اندازی ماشین مجازی و دریافت آدرس IP (از طریق DHCP یا تنظیمات شبکه)، مرورگر خود را باز کرده و به آدرس زیر متصل شوید:

 

http://<IP-Address>:8000

 

به جای <IP-Address>، آدرس IP اختصاص‌یافته به ماشین مجازی را وارد کنید.

 

 

برای ورود به سامانه از اطلاعات زیر استفاده نمایید:

 

نام کاربری: admin
رمز عبور: Password123

 

 

بدست آوردن IP ماشین

 

برای به‌دست آوردن IP ماشین مجازی، پس از بالا آمدن سیستم و نمایش صفحه لاگین، مراحل زیر را انجام دهید:

 

در ویندوز Command Prompt (CMD) را باز کنید.

به مسیر نصب VMware بروید:

C:\Program Files (x86)\VMware\VMware Workstation

 

سپس دستور زیر را اجرا کنید:

 

vmrun.exe getGuestIPAddress D:\Labs\Splunk\01-LAB\spl-Final-01\splunk.vmx

 

با اجرای این دستور، آدرس IP ماشین مجازی نمایش داده می‌شود.

 

توجه داشته باشید که مسیر:

D:\Labs\Splunk\01-LAB\spl-Final-01\splunk.vmx

 

باید با مسیر واقعی فایل .vmx ماشین مجازی روی سیستم شما جایگزین شود.