En este reto ayudaremos al equipo del SOC de Wareville a analizar alertas y determinar si representan verdaderos positivos (TP) o falsos positivos (FP). Seguiremos un enfoque paso a paso para resolver el incidente, asegurándonos de identificar patrones, correlacionar eventos y analizar comandos sospechosos.
1. Configurar el entorno
- Inicia la máquina virtual proporcionada en TryHackMe haciendo clic en el botón “Start Machine”.
- Una vez que la máquina esté lista (aproximadamente 5 minutos), accede al Elastic SIEM mediante la URL y las credenciales proporcionadas:
- URL:
https://LAB_WEB_URL.p.thmlabs.com
- Usuario:
elastic
- Contraseña:
elastic
- URL:
2. Filtrar eventos relevantes
- Dirígete a la pestaña Discover en el menú superior izquierdo.
- Configura el intervalo de tiempo a 1 de diciembre de 2024, entre las 09:00 y las 09:30:
- Haz clic en el icono de configuración de tiempo en la esquina superior derecha.
- Selecciona la pestaña “Absolute”.
- Establece la fecha y hora específicas.
- Haz clic en “Update”.
- Agrega las siguientes columnas a los resultados para hacerlos más legibles:
- host.hostname: Para identificar el nombre del host donde se ejecutó el comando.
- user.name: Para ver quién realizó la actividad.
- event.category: Para asegurarnos de que estamos viendo la categoría correcta.
- process.command_line: Para ver los comandos ejecutados con PowerShell.
- event.outcome: Para verificar si la actividad tuvo éxito.
3. Correlacionar eventos
- Observa los resultados y analiza el patrón: nota que antes de cada ejecución del comando PowerShell, hay eventos de autenticación exitosos.
- Agrega la columna source.ip para identificar la IP de origen que ejecutó los comandos PowerShell.
- Filtra los eventos de autenticación seleccionando el signo “+” al lado de
event.category
para mostrar solo eventos de autenticación. - Expande el rango de tiempo para investigar eventos históricos desde el 29 de noviembre al 1 de diciembre de 2024 y analiza el historial del usuario identificado.
4. Analizar el comando PowerShell
- Observa el campo
process.command_line
para ver el comando PowerShell codificado. - Copia la parte codificada del comando (tras
-EncodedCommand
). - Decodifica el comando usando CyberChef:
- Usa la receta FromBase64 y selecciona Decode text.
- Configura la codificación a UTF-16LE (1200).
- Analiza el resultado para comprender el propósito del comando.
5. Responder a las preguntas
Usa la información obtenida en los pasos anteriores para responder a las siguientes preguntas del reto:
- ¿Cuál es el nombre de la cuenta que causa los intentos de inicio de sesión fallidos?
- Busca en el campo
user.name
.
- Busca en el campo
- ¿Cuántos intentos de inicio de sesión fallidos se observaron?
- Filtra por eventos fallidos y cuenta el total.
- ¿Cuál es la dirección IP de Glitch?
- Busca la IP asociada a los eventos de inicio de sesión exitosos que preceden a los comandos PowerShell.
- ¿Cuándo logró Glitch iniciar sesión correctamente en ADM-01?
- Busca el evento de inicio de sesión exitoso en el host ADM-01.
- ¿Cuál es el comando decodificado ejecutado por Glitch?
- Usa el resultado de CyberChef para obtener el comando completo.
6. Conclusión
El análisis detallado reveló que Glitch estaba ayudando a solucionar un problema de credenciales desactualizadas, mientras que otros actores intentaban comprometer los sistemas. Este reto subraya la importancia de la correlación de eventos y el análisis contextual en la ciberseguridad.
¡Gran trabajo ayudando a proteger Wareville! 🎄