Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

sysmon_uacbypass_CDSSync_schtask_hijack_byeintegrity5.evtx #256

Open
10 tasks
aw350m33d opened this issue May 28, 2023 · 0 comments
Open
10 tasks

sysmon_uacbypass_CDSSync_schtask_hijack_byeintegrity5.evtx #256

aw350m33d opened this issue May 28, 2023 · 0 comments
Labels
OSW#1 Task
Milestone
Privilege Escalation

Comments

@aw350m33d
Copy link

sysmon_uacbypass_CDSSync_schtask_hijack_byeintegrity5.evtx

Файл с событиями можно скачать тут 🔗.

Проставляй галочки по ходу выполнения шагов:

  • Если тебе понравилась эта задача, то назначь её на себя. Для этого нажми на assign yourself в правой части экрана в разделе Assignees.
  • Переведи задачу из статуса Backlog в In Progress в разделе Projects справа.
  • Выполни подготовительные действия, описанные в разделе "Подготовка к спринту" правил участия.
  • Изучи атаку, события для которой сохранены в EVTX-файле. Пойми как устроена атака, и какие события в результате неё создаются (содержатся в EVTX).
  • Открой локальную копию своего форка репозитория с правилами в VSCode.
  • Сразу отведи ветку под разработку текущего правила:
    git checkout -b feature/sysmon_uacbypass_CDSSync_schtask_hijack_byeintegrity5.
  • Придумай логику детектирования и напиши правило, используя плагин VSCode XP (eXtraction and Processing). Рекомендации по разработке см. в разделе "Советы по процессу разработки правил" правил участия.
  • Когда правило готово и протестировано, зафиксируй изменения в локальном репозитории и отправь их на сервер:
    git add *
    git commit -m "<ТУТ ЕМКОЕ ОПИСАНИЕ ИЗМЕНЕНИЙ>"
    git push --set-upstream origin feature/sysmon_uacbypass_CDSSync_schtask_hijack_byeintegrity5
  • Открой исходный репозиторий в браузере. Платформа предложит создать Pull Request (PR) из твоего форка в ветку develop. Создайте PR с описанием содержимого и текстом Resolves #ISSUE_ID, где ISSUE_ID - идентификатор выбранной задачи. Этот текст автоматически свяжет созданный PR и задачу (подробнее см. Using keywords in issues and pull requests).
  • Переведи задачу из состояния In Progress в Done.

Следи за комментариями в созданном PR. Если нужно будет что-то поправить, изменения можно добавить в уже созданный PR. Для этого просто зафиксируй изменения в локальном репозитории и снова отправь все коммиты в GitHub.

Если возникли трудности в ходе решения этой задачи, то вопрос можно написать прямо в комментариях к этой задаче.

Также по любым вопросам, связанными со спринтом, можно писать в чат или в дискуссии GitHub
@aw350m33d aw350m33d added this to the Privilege Escalation milestone May 28, 2023
@aw350m33d aw350m33d transferred this issue from Security-Experts-Community/Open-Security-Week May 31, 2023
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
OSW#1 Task
Projects
Open Security Week
Status: Backlog
Milestone
Privilege Escalation
Development

No branches or pull requests
1 participant
@aw350m33d