Track 2b — Blue · IR · 200 pts
Дата отчёта: 2024-09-29
Автор: аналитик SOC ночной смены (имя редактировано)
Классификация: Internal — Restricted
Статус: Closed, contained at endpoint level
11 сентября 2024 г. на workstation-04 был обнаружен и локализован инцидент типа «целевая компрометация рабочей станции через документ Office». IR-команда подавила атаку на уровне endpoint и закрыла инцидент.
| Время (UTC+05) | Событие | MITRE ATT&CK | Действие |
|---|---|---|---|
| 03:11 | Получено фишинговое письмо с XLSX-вложением от partner-billing@steppes-logistics.kz. Macro auto-enabled. | T1566.001 (Spearphishing Attachment) | Escalated |
| 03:14 | excel.exe породил powershell.exe с обфусцированной payload. | T1059.001 (PowerShell) | Escalated |
| 03:16 | PowerShell записал C:\Users\Public\svchost.exe и установил автозапуск через Registry Run Key. | T1547.001 (Registry Run Keys) | Escalated |
| 03:18 | EDR залогировал команду: wmic /node:workstation-07 process call create "cmd.exe /c ping 8.8.8.8". Аналитик пометил как «failed lateral attempt — без реального перемещения». | — | Dismissed |
| 03:22 | Mimikatz-вариант инжектирован в lsass.exe. | T1003.001 (LSASS Memory) | Escalated |
| 03:24 | DNS-туннелирование на irtysh-cloud-svc.com для exfiltration. | T1048.003 (DNS Exfiltration) | Escalated |
| 05:47 | EDR заблокировал второй wmic /node: вызов. Workstation изолирована. | — | Contained |
«Инцидент локализован на workstation-04. Latteral movement не подтверждён: попытка wmic /node:workstation-07 в 03:18 не привела к запуску процесса на удалённой машине — ICMP-пакет не отправлен (никаких сетевых артефактов на workstation-07). Listing wmic был использован для разведки, но не для исполнения. Closed.»
Прочитайте отчёт. В таймлайне есть один индикатор, который аналитик отбросил, но который соответствует валидной MITRE-технике. Идентифицируйте её и отправьте ID в формате flag{T<NNNN>} (например, flag{T1059}).
Примечание: ответ — это техника, не sub-technique (4 цифры, не 4.001).
Есеп күні: 2024-09-29
Автор: түнгі ауысым SOC аналитигі
Жіктелуі: Internal — Restricted
Күйі: Closed, endpoint деңгейінде локализацияланған
2024 ж. 11 қыркүйекте workstation-04-те «Office құжаты арқылы мақсатты жұмыс станциясын компрометациялау» түрлі инцидент анықталып, локализацияланды. IR команда шабуылды endpoint деңгейінде басып, инцидентті жапты.
| Уақыт (UTC+05) | Оқиға | MITRE ATT&CK | Әрекет |
|---|---|---|---|
| 03:11 | partner-billing@steppes-logistics.kz-тен XLSX тіркемесі бар фишингтік хат. Macro auto-enabled. | T1566.001 | Escalated |
| 03:14 | excel.exe обфусцирленген payload-пен powershell.exe жіберді. | T1059.001 | Escalated |
| 03:16 | PowerShell C:\Users\Public\svchost.exe жазып, Registry Run Key арқылы автожіберуді орнатты. | T1547.001 | Escalated |
| 03:18 | EDR команданы тіркеді: wmic /node:workstation-07 process call create "cmd.exe /c ping 8.8.8.8". Аналитик «failed lateral attempt» деп белгіледі. | — | Dismissed |
| 03:22 | Mimikatz нұсқасы lsass.exe-ге инжектирленді. | T1003.001 | Escalated |
| 05:47 | EDR екінші wmic /node: шақыруды бұғаттады. Workstation оқшауланды. | — | Contained |
Есепті оқыңыз. Тізбеде аналитик тастап кеткен бір индикатор бар, ол MITRE техникасына сәйкес келеді. Оны анықтап, ID-ін flag{T<NNNN>} форматында жіберіңіз (мысалы, flag{T1059}).
Ескерту: жауап — техника, sub-technique емес (4 сан, 4.001 емес).
RU: Решите задачу выше. Найденный флаг (формат flag{T) отправьте напрямую в irange.
KK: Жоғарыдағы тапсырманы шешіңіз. Табылған жалаушаны (формат flag{T) тікелей irange-ге жіберіңіз.
RU: Каждая подсказка снимает баллы.
KK: Әр кеңес ұпайды кемітеді.