iT邦幫忙

2022 iThome 鐵人賽
DAY 11
0
Security

none系列 第 11

1-11 用Splunk實作 4-3

14th鐵人賽
516 瀏覽

  • 分享至 

  • xImage
    •  

上一章情資:The attacks use a decoy document loaded with malicious macro code that downloads Cerber malware files to users’ machines. When the decoy document is opened, it drops a VBScript file (.vbs) with a random name in the format “%APPDATA%%RANDOM%.vbs

來從Sysmon中查看是否有執行 vbs的
index="botsv1" sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" *.vbs | table _time,CommandLine, ParentCommandLine
https://ithelp.ithome.com.tw/upload/images/20220926/20077752U06xOeoKdm.jpg

查看該vbs的 ParentCommandLine 好像是開 Word動作
"C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n /f "D:\Miranda_Tate_unveiled.dotm"

D槽不確定是否為外接設備

查看該主機USB紀錄(上面的結果如何關聯到這個搜尋還需要研究一下...)
index="botsv1" sourcetype=winregistry friendlyname

查到USB Key 為 data="MIRANDA_PRI"
https://ithelp.ithome.com.tw/upload/images/20220926/20077752je0RXZqzzv.jpg

REF

https://samsclass.info/50/proj/botsv1.htm


上一篇
1-10 用Splunk實作 4-2
下一篇
1-12 用Splunk實作 4-4
系列文
none36
  1. 32
    3-1 DFIR - Velociraptor
  2. 33
    3-2 DFIR - Velociraptor-2
  3. 34
    3-3 DFIR - Velociraptor-3
  4. 35
    3-4 Investigating Windows Systems
  5. 36
    3-5 Investigating Windows Systems-2
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22198
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙