تیم SOC هشداری مبنی بر «ایجاد دسترسی از راه دور» روی یکی از سیستمهای شبکه صادر کرده است. ظاهراً نفوذگر با اجرای یک فایل باینری، یک reverse shell برقرار کرده و پس از اتصال شروع به جمعآوری اطلاعات و انجام مجموعهای از فعالیتهای مخرب نموده است.
لاگهای سیستم بهطور محلی حذف شدهاند و در SIEM نیز هیچ ورودیای ثبت نشده (Agent نصب نبود). تیم پاسخ به حادثه بلافاصله اقدام به انجام اقدامات اولیه فارنزیک نموده و یک ایمیج از حافظه (memory image) تهیه کردهاند. این ایمیج اکنون در اختیار شماست
وظیفه شما شناسایی مسیر حمله، فایل/باینری آلوده، و کلیه فعالیتهای نفوذگر روی سیستم است.
درصد پیشرفت حل چالش
0%
