LogJammer
Classificação: Easy
Categoria: DFIR
Cenário:
Você recebeu uma proposta para trabalhar como consultor júnior de DFIR (Digital Forwarding and Incidents) em uma grande consultoria. No entanto, eles lhe forneceram uma avaliação técnica para concluir. A consultoria Forela-Security gostaria de avaliar seu conhecimento em análise de logs de eventos do Windows. Acreditamos que o usuário Cyberjunkie acessou o computador e pode ter realizado ações maliciosas. Analise os logs de eventos fornecidos e apresente um relatório.
Extrai todos os logs com a ferramenta EvtxECmd e os analisei com o Timeline Explorer
1 - Quando o usuário cyberjunk conseguiu acessar seu computador pela primeira vez? (UTC)
Foram idenficados eventos de autenticação associados ao usuário Cyberjunkie, incluindo:
Event ID 4624 - Logon bem-sucedido
Resposta: 2023/03/27 14:37:09
2- O usuário alterou as configurações do firewall no sistema. Analise os registros de eventos do firewall para descobrir o nome da regra de firewall adicionada.
Suspeita-se que o usuário tenha alterado as configurações do firewall do sistema. Para confirmar essa ação e identificar a regra de firewall adicionada, foram analisados os logs do windows Firewall.
Eventos relevantes:
Event ID 2004 - Regra de firewall adicionada
Resposta: Metasploit C2 Bypass
3- Qual é a direção da regra do firewall?
Para identificar a direção da regra de firewall adicionada, foram analisados os eventos do log:
Event ID 2004 - Regra de firewall adicionada
Esse evento contém o campo Direction, que indica se a regra controla de entrada ou saída
Os valores possíveis são:
Inbound - Tráfego de entrada
Outbound - Tráfego de saída
Resposta: Outbound
4- O usuário alterou a política de auditoria do computador. Qual é a subcategoria dessa política alterada?
Foi identificada uma alteração na política de auditoria do sistema por meio da análise dos logs de segurança do Windows.
Event ID 4719 – System audit policy was changed
Este evento registra explicitamente a subcategoria da política de auditoria que foi modificada.
Resposta: Other System Events
5 - O usuário "cyberjunkie" criou uma tarefa agendada. Qual o nome dessa tarefa?
Para identificar a tarefa agendada criada pelo usuário cyberjunkie, foi analisado o Security.evtx, com foco em eventos de criação de tarefas
Event ID 4698 – A scheduled task was created
SubjectUserName:
cyberjunkie
Resposta: HTB-AUTOMATION
6- Qual é o caminho completo do arquivo que estava agendado para a tarefa?
Event ID 4698 – A scheduled task was created
SubjectUserName:
cyberjunkie
Esse evento registra, além do nome da tarefa, o conteúdo do campo Task Content, que inclui:
A ação configurada
O comando ou executável
Resposta: C:\Users\CyberJunkie\Desktop\Automation-HTB.ps1
7- Quais são os argumentos do comando?
8- O antivírus em execução no sistema identificou uma ameaça e realizou ações para neutralizá-la. Qual ferramenta foi identificada como malware pelo antivírus?
Foram analisados os logs do Microsoft Defender Antivirus, especificamente:
Log:
Microsoft-Windows-Windows Defender/OperationalEvent IDs comuns:
1116 – Malware detectado
1117 – Malware removido
9- Qual é o caminho completo do malware que gerou o alerta?
10- Que ação foi tomada pelo antivírus?
A análise dos logs do Microsoft Defender Antivirus (Microsoft-Windows-Windows Defender/Operational) identificou que, após a detecção da ameaça, o antivírus executou automaticamente uma ação de mitigação.
Event ID 1116 / 1117
11- O usuário utilizou o PowerShell para executar comandos. Qual comando foi executado pelo usuário?
Durante a análise dos logs de eventos do Windows, foi identificado que o usuário cyberjunkie utilizou o PowerShell para executar comandos no sistema.
Log:
Microsoft-Windows-PowerShell/OperationalEvent ID 4104 – PowerShell Script Block Logging
Last updated