THM: AOC 2022 [День 2] Анализ журнала «Непослушный и хороший журнал Санты»
Пришествие Кибер 2022 — День 2
ссылка на сайт :https://tryhackme.com/room/adventofcyber4
История
Центр управления безопасностью Санта-Клауса (SSOC) обнаружил, что один из их веб-серверов, santagift.shop, был захвачен APT-группой Bandit Yeti. Задача Elf McBlue — проанализировать лог-файлы, захваченные с веб-сервера, чтобы понять, что происходит, и отследить APT-группу Bandit Yeti.
Цели обучения
В сегодняшнем задании вы:
Узнайте, что такое файлы журналов и почему они полезны
Понять, какую ценную информацию могут содержать файлы журналов
Поймите некоторые общие места, где можно найти эти файлы журналов.
Используйте некоторые основные команды Linux, чтобы начать анализ файлов журнала для получения ценной информации.
Помогите Эльфу МакБлу выследить APT Bandit Yeti!
Учебные материалы
Содержание обучения 2-го дня можно найти по ссылке на мероприятие:https://tryhackme.com/room/adventofcyber4
Практические:
Для сегодняшней задачи вам нужно будет развернуть машину, прикрепленную к этой задаче, нажав зеленую кнопку «Запустить машину», расположенную в правом верхнем углу этой задачи. Машина должна запуститься в режиме разделенного экрана. Если это не так, вам нужно будет нажать синюю кнопку «Показать разделенный экран» в правом верхнем углу этой страницы.
Используйте знания, которые вы получили в сегодняшнем задании, чтобы помочь Эльфу МакБлю выследить APT Bandit Yeti, ответив на вопросы ниже.
Вопросы второго дня:
Вопрос. В этой задаче убедитесь, что вы подключены к развертываемому компьютеру.
- Запустите задачу, нажав кнопку «Запустить машину».
- запустить команду «pwd», показывает, что мы находимся в каталоге «/home/elfmcblue».
- запустите команду «ls», мы получим список файлов в каталоге, которые помогут нам ответить на этот вопрос.
- мы можем обратиться к нашим предыдущим открытиям, чтобы ответить на этот вопрос.
- мы можем запустить «cat xxx.log», чтобы просмотреть содержимое файла, и результаты могут быть ошеломляющими.
- Таким образом, мы можем использовать grep для фильтрации нежелательных результатов.
- Я попытался выполнить приведенные ниже команды, но не нашел интересующего результата.
> grep «непослушный» xxxx.log
> grep «хороший» xxx.log - следующий запуск команды grep на санта дает интересующий результат
- Я не знаю, правильный ли это результат, и решил попробовать.
- Я использовал Google, чтобы точно определить фактический день, и оказалось, что это правильный ответ.
В: Как называется список важных дел, который злоумышленник украл у Санты?
- мы можем обратиться к нашим предыдущим выводам по обоим этим вопросам.
- Не удалось найти интересующий результат в текущем исследованном журнале.
- Однако удалось найти флаг в другом файле журнала.
- Другие комнаты THM, чтобы узнать о логах.
В следующий раз я подробнее изучу содержимое «Журналов событий окна».
![В любом случае, что такое связанный список? [Часть 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
