iT邦幫忙

2022 iThome 鐵人賽

DAY 7
0
Security

none系列 第 7

1-7 調查 - 使用Splunk實作 3

  • 分享至 

  • xImage
  •  

查看對受害網站post的紀錄

過濾掉弱掃軟體的特徵 (form_data表示只看該Field的資料)

看到一堆內容包含帳密,有可能被帳密爆破

http_method=post NOT Acunetix |table _time, form_data
https://ithelp.ithome.com.tw/upload/images/20220922/20077752MLJRU1Eh4Q.jpg

2016-08-10 14:45:21 ~ 2016-08-10 14:46:51.39 SrcIP 23.22.63.114 共412筆

2016-08-10 14:48:05 SrcIP 40.80.148.42 共1筆

查看是否有傳輸exe檔

發現可疑檔案
index="botsv1" sourcetype="stream:http" NOT Acunetix ".exe"
https://ithelp.ithome.com.tw/upload/images/20220922/20077752k0sASX2SUo.jpg

2016-08-10 21:52:47 SrcIP 40.80.148.42 "3791.exe" 共2筆

查看sysmon是否有exe紀錄
系統監視器( Sysmon ) 是一種 Windows 系統服務和設備驅動程序,一旦安裝在系統上,它就會在系統重新啟動後保持駐留,以監視系統活動並將其記錄到 Windows 事件日誌中。它提供有關進程創建、網絡連接和文件創建時間更改的詳細信息。

sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" "3791.exe"

查看該程式已經被創建並進行網路連線了
https://ithelp.ithome.com.tw/upload/images/20220922/20077752NZTSi4OZer.jpg

ID 1: Process creation
ID 3: Network connection
ID 5: Process terminated
ID 7: Image loaded

EventCode=1 |table _time, cmdline, MD5
https://ithelp.ithome.com.tw/upload/images/20220922/20077752a7Rv06nOdS.jpg

2016-08-10 14:56:18 host we1149srv cmd.exe /c "3791.exe 2>&1"
2016-08-10 14:56:18 host we1149srv ??\C:\Windows\system32\conhost.exe 0xffffffff
2016-08-10 14:56:18 host we1149srv 3791.exe AAE3F5A29935E6ABCC2C2754D12A9AF0


上一篇
1-6 哪裡有規定要這樣做
下一篇
1-8 啟動調查
系列文
none36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言