Blue Lab 9
عمل هجمة باستخدام
الـ Scheduled Tasks
واصطيادها
بسم الله الرحمن الرحيم
مقدمة
اهلا بكم, استكمل هنا سلسلتي التي بدأتها معكم والتي اقوم بها بشرح طريقة عمل لاب دفاعي متكامل وشامل.
يواجه البعض مشكلة ظهور التدوينة ناقصة وهي خارج عن سيطرتي, يمكن حلها بتعطيل إضافة الآد بلوك في المتصفح (لا توجد إعلانات هنا) أو بتجربة تغيير المتصفح.
مقالة اليوم عبارة عن هجمة تحدث من خلال زرع Backdoor في الـ Scheduled Tasks بحيث يتم تشغيل البرنامج الخبيث الذي يؤدي الى اتصال عكسي بوقت محدد وتعتبر من خطوات الـ Persistence.
في هذة المقالة سوف نستخدم 4 اجهزة وهي:
Kali Linux (The Attacker Machine)
Windows 10 (The Victim Machine)
Splunk (SIEM Solution)
Velociraptor (Endpoint Detection)
عناصر المقالة:
البدء في اعداد الهجمة
هجمة باستخدام الـ Scheduled Tasks
اصطياد هجمات الـ Scheduled Tasks من خلال Splunk
اصطياد هجمات الـ Scheduled Tasks من خلال Velociraptor
البدء في اعداد الهجمة
قبل اعداد الهجمة سنستخدم Splunk للبحث عن Task Schedule ولكن يجب التأكد قبل عمل الهجمة ان الاحداث الخاصة بالـ Task Scheduler مرسلة الى الـ SIEM من الممكن التعديل على ملف inputs.conf لاضافة عملية ارسال الاحداث الخاصة بالـ Task Scheduler الى Splunk.
ملف inputs.conf موجود تحت المسار التالي:
C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local\inputs.conf
نضيف الاسطر التالية داخل ملف inputs.conf:
[WinEventLog://Microsoft-Windows-TaskScheduler/Operational]
disabled = false
renderXml = true
source= XmlWinEventLog:Microsoft-Windows-TaskScheduler/Operational
index = wineventlog
sourcetype = taskscheduler