Устроиться в BI.ZONE всего за один день — легко, ведь на OFFZONE 2023 мы проведем One Day Offer. А чтобы желающим было проще заявить о себе, запускаем конкурс, три победителя которого получат бесплатные проходки на конференцию. В этом году задания нацелены на аналитиков SOC, специалистов с опытом форензики и расследования инцидентов, а также специалистов по анализу киберугроз.
Каждый участник OFFZONE получит шанс пройти интервью и присоединиться к команде BI.ZONE в тот же день. Выбирайте вакансию на сайте и приходите на наш стенд 24–25 августа.Условия конкурса
Выполните как можно больше заданий из списка ниже.
До 13 августа пришлите решение на почту friends@bi.zone с темой письма One Day Offer.
Мы объявим итоги конкурса 21 августа в нашем телеграм-канале.
При выборе победителей будем опираться на следующие критерии оценки заданий:
полноту,
техническую грамотность,
структурированность,
качество оформления.Список заданий
Необязательно выполнять все задания, главное — сделать качественно. Перейти к заданиям.
№
Описание задания
1В одной компании произошел инцидент. Администратор вовремя запустил запись сетевого трафика на контроллере домена. Все происходило в нерабочее время, легитимной активности сотрудников не зафиксировано.
Расследуйте этот случай: проанализируйте предоставленные данные, установите, как злоумышленники провели атаку, и опишите ее основные шаги
2Администраторы зафиксировали внеплановую перезагрузку хоста. Пока искали ее причину, на хосте обнаружили отключенный антивирус. Никто из сотрудников антивирус не отключал, поэтому решили передать логи специалистам для анализа.
Ваше задание:
1. По логам выясните назначение скомпрометированного хоста.
2. Укажите, как злоумышленнику удалось во время атаки получить доступ к скомпрометированному хосту.
3. Определите IP-адрес атакующего.
4. Выясните, какая учетная запись была скомпрометирована в результате атаки.
5. Объясните, как преступник нарушил работоспособность антивируса после входа на скомпрометированный хост.
6. Опишите, как злоумышленник получил права локального администратора в системе.
7. Укажите, какое вредоносное воздействие (impact) атака нанесла компании.
8. Опишите kill chain атакующего во времени, указав шаги и инструменты преступника
3В нашу компанию обратилась одна из школ чародейства и волшебства. Главный администратор расследовал инцидент, связанный с одним из компьютеров школы, но перестал выходить на связь. Все, что он успел сделать, — это снять дамп оперативной памяти (RAM) и оставить странную записку: «Win10x64_17763».
Помогите нам разобраться в этой проблеме.
1. Выясните наименование хоста (изначальное и конечное).
2. Определите IP-адрес хоста.
3. Укажите путь до вредоносного файла.
4. Опишите, как этот файл попал на хост.
5. Соберите максимум информации о вредоносном файле (активность, запущенные процессы, загруженные библиотеки и т. д.).
6. Выясните, к какому семейству относится вредоносный файл
4В телеграм-каналах появились посты о том, что злоумышленники якобы полностью скомпрометировали инфраструктуру одной известной организации. В качестве доказательств они опубликовали часть email-переписки сотрудников этой компании.
Во время расследования администратор выгрузил часть файлов с событиями сервера Exchange. Проанализируйте предоставленные артефакты и установите, был ли почтовый сервер затронут атакой. Если он был скомпрометирован, опишите все действия атакующих на этом сервере
5При выполнении технических работ администратор обнаружил странный ELF-файл.
1. Проведите статический и динамический анализ этого файла.
2. Опишите поведение вредоносного файла.
3. Наложите активность файла на MITRE ATT&CK.
4. Выясните, используются ли какие-либо методы обфускации или AntiREAntiDebug.
5. Определите характерные строки.
6. Укажите все IoC
6
По скриншотам событий из встроенных журналов Windows и Sysmon определите характер происходившей активности. Опишите, что произошло, легитимная ли это активность, что означают те или иные команды, а также укажите тактики и техники MITRE ATT&CK по каждому представленному событию
7В компании «Рога и копыта» IT-администратор обнаружил, что от одного из внутренних серверов не поступает информация о потреблении ресурсов системы. В ходе разбирательства выявили, что средство сбора такой информации было выключено, а сервер потреблял много ресурсов CPU. Администратор обнаружил на сервере майнер, который потреблял все доступные ресурсы. Согласовав действия с отделом кибербезопасности, администратор завершил процесс майнера и собрал артефакты для расследования.
Выясните:
1. Назначение скомпрометированного сервера.
2. IP-адрес злоумышленника во время атаки.
3. Каким инструментом атакующий сканировал внутренний сервер компании.
4. Как преступник получил начальный доступ к внутреннему серверу.
5. Название веб-шелла, который использовал злоумышленник для доступа к серверу.
6. С помощью какого инструмента атакующий искал уязвимости и небезопасные настройки на сервере.
7. Как преступник получил права суперпользователя на сервере.
8. Название процесса майнера, который был запущен на сервере
8К вам как специалисту центра мониторинга обратился заказчик. Он недавно приобрел услуги вашей компании, и теперь ему нужно подключить мониторинг IT-инфраструктуры. Заказчик передал список потенциальных источников событий, которые можно подключить к SIEM-системе.
На основе списка источников составьте таблицу с порядком их подключения. Для каждого источника укажите:
1. Приоритет подключения (1, 2, 3).
2. Краткое обоснование, почему вы считаете, что источник нужно подключить именно в этой приоритетной группе. Если вы решите, что источник совсем не нужно подключать, также обоснуйте это
9
Появилась информация, что группа злоумышленников собирается атаковать инфраструктуру одного из клиентов центра мониторинга. Атакующие используют Sliver в качестве C2-фреймворка. Предложите как можно больше детектирующих правил для выявления этого вредоносного ПО. Их можно описать в синтаксисе правил корреляции для одной из SIEM, а также в формате Sigma или псевдологики
10
В центр мониторинга обратилась организация, пострадавшая от атаки Ransomware. Сейчас последствия инцидента устранены, но есть риск повторных атак в будущем. Предложите рекомендации по повышению уровня защищенности инфраструктуры Active Directory, выполнение которых помешает атакующим быстро скомпрометировать домен повторно
Желаем удачи!
Источник новости: habr.com