یک تیم عملیات آبی (Blue Team) مشکوک شده که در یکی از سیستمهای ویندوز 10 (تارگت) تغییراتی برای ماندگاری (Persistence) ایجاد شده است. پس از کمی بررسی متوجه میشوند که در رجیستری، کلید مربوط با این حمله دستکاری شده است تا یک DLL سفارشی در فرآیند احراز هویت بارگذاری شود. در نتیجه مهاجم میتواند بعد از هر ریاستارت، کد خود را با دسترسی بالا اجرا کند.
شما بهعنوان یک تحلیلگر امنیت یا شکارچی تهدید (Threat Hunter) وظیفه دارید با بررسی لاگها و فایلها، متوجه شوید کدام فایل DLL اضافه شده و کدام کلید ریجستری مربوط به احراز هویت تغغیر کرده و یا کلیدی جدید اضافه شده است و در نهایت این حمله با کدام متد و تکنیک MITRE مطابقت دارد.
درصد پیشرفت حل چالش
0%
