Skip to main content
Lanterna Home

Splunk Lantern

Detecção de ataques de spooler de impressão

  1. Last updated
  2. Save as PDF

Enquanto analista de segurança, é o seu trabalho manter-se a par dos relatórios da Microsoft sobre vulnerabilidades e exposições comuns. Descobriu recentemente que a Microsoft reportou uma série de vulnerabilidades que podem afetar a sua rede e precisa de identificar se alguma das vulnerabilidades da sua organização Windows os parâmetros de avaliação foram afectados.

Estas vulnerabilidades afectam o serviço de spooler de impressão, que está activado por predefinição em Windows sistemas, e permite que os adversários enganem este serviço, fazendo-o instalar um driver de impressão alojado remotamente utilizando uma conta de utilizador com baixos privilégios. A exploração bem-sucedida permite que os invasores executem código remoto no sistema de destino no contexto do serviço de spooler de impressão, que é executado com privilégios escalonados. A vulnerabilidade PrintNightmare é um exemplo deste tipo de ataque.

Você pode usar o software Splunk para investigar programas ou binários executados no sistema infectado, examinar as conexões que a máquina infectada tinha com outros dispositivos de rede, construir uma linha do tempo de eventos e criar diagramas de fluxo de tráfego para ajudar a visualizar o que aconteceu.

Dados requeridos

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Durante a triagem, isolar o ponto final e rever a fonte de exploração. Capture quaisquer eventos adicionais de modificação de ficheiros.

Se os resultados indicarem que ocorreu um ataque, o sistema anfitrião ou o computador onde a vulnerabilidade é detectada terá de ser investigado e corrigido de acordo com o seu plano de resposta. Isso envolve uma etapa final de re-imagem do sistema com uma construção de sistema em boas condições após investigação.

Estes recursos adicionais poderão ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.