Задание 2

Задание 2.

1. Какова контрольная сумма исходного содержимого образа (MD5)?

84648ad119e390f8cf2201a145c5d8ba

2. У какого пользователя идентификатор безопасности заканчивается на 1004?

У пользователя Support ИБ заканчивается на 1004

3. Во сколько был запущен файл «2.bat»? Запишите ответ в формате: hh:mm:ss (UTC).

Не смог найти этот батник нигде не нашел

4. Какой сайт использовался для кражи данных и загрузки вредоносного ПО? Запишите ответ в формате: website.com

Ответ на этот вопрос на 7 вопросе

5. При помощи чего осуществлялось подключение к узлу 192.168.1.75? Назовите протокол.

Microsoft-Windows-TerminalServices-RDPClient/Operational

Microsoft-Windows-TerminalServices-ClientActiveXCore

6. Какой файл был запущен из каталога «Temp1_iepv.zip»? Запишите имя файла с расширением.

Был запущен файл iepv.cfg который является конфигурацией для утилиты, которая после запуска отобразит сохраненные пароли в браузере Internet Explorer

7. Откуда был загружен данный файл? Укажите в формате: website.com

Пытался открыть файл с историей браузера через BrowserHistoryView но никак не получилось, папка History никаким образом не открывается

8. Какой пользователь последний раз заходил в систему 10 марта в 12:23:43 (UTC)?

Пользователь Wilfred заходил 9 Марта 14:17

И неизвестный пользователь с названием 000003E8 заходил 9 Марта 14:20

9. Каким пользователем было сделано первое исходящее подключение по RDP?

Методом извлечения логов журнала (Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx) было выявлено что первым подключением по RDP было пользователем Wilfred в 2019-03-09 16:35:27

10. Для чего атакующими использовался файл, запущенный из C:\Users\Wilfred\AppData\Local\Temp\Temp1_netscan_portable.zip?

Атакующий пользовался файлом программой netscan для сканирования всех IP-сетей класса B или класса C на наличие открытых портов.

Бат файлы в котором кроются все вирусы