Blue Lab 9

عمل هجمة باستخدام

الـ Scheduled Tasks

واصطيادها


بسم الله الرحمن الرحيم


مقدمة

اهلا بكم, استكمل هنا سلسلتي التي بدأتها معكم والتي اقوم بها بشرح طريقة عمل لاب دفاعي متكامل وشامل.

يواجه البعض مشكلة ظهور التدوينة ناقصة وهي خارج عن سيطرتي, يمكن حلها بتعطيل إضافة الآد بلوك في المتصفح (لا توجد إعلانات  هنا) أو بتجربة تغيير المتصفح.

مقالة اليوم عبارة عن هجمة تحدث من خلال زرع Backdoor في الـ Scheduled Tasks بحيث يتم تشغيل البرنامج الخبيث الذي يؤدي الى اتصال عكسي بوقت محدد وتعتبر من خطوات الـ Persistence.

في هذة المقالة سوف نستخدم 4 اجهزة وهي:

  1. Kali Linux (The Attacker Machine)

  2. Windows 10 (The Victim Machine)

  3. Splunk (SIEM Solution)

  4. Velociraptor (Endpoint Detection)

عناصر المقالة:
  1. البدء في اعداد الهجمة

  2. هجمة باستخدام الـ Scheduled Tasks

  3. اصطياد هجمات الـ Scheduled Tasks من خلال Splunk

  4. اصطياد هجمات الـ Scheduled Tasks من خلال Velociraptor 


البدء في اعداد الهجمة

قبل اعداد الهجمة سنستخدم Splunk للبحث عن Task Schedule ولكن يجب التأكد قبل عمل الهجمة ان الاحداث الخاصة بالـ Task Scheduler مرسلة الى الـ SIEM من الممكن التعديل على ملف inputs.conf لاضافة عملية ارسال الاحداث الخاصة بالـ Task Scheduler الى Splunk.

ملف inputs.conf موجود تحت المسار التالي:

C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local\inputs.conf

نضيف الاسطر التالية داخل ملف inputs.conf:

[WinEventLog://Microsoft-Windows-TaskScheduler/Operational]

disabled = false

renderXml = true

source= XmlWinEventLog:Microsoft-Windows-TaskScheduler/Operational

index = wineventlog

sourcetype = taskscheduler

Join