Jump to content

Комментарий к записи Уроки форензики. Расследуем киберинцидент CyberCorp Case 1 (Vosstanovlenie_dostupa)


xak

Recommended Posts

Спе­циалис­ты по ата­кующей безопас­ности отта­чива­ют навыки на Hack The Box, Root Me и VulnHub, а спе­циаль­но для защит­ников сущес­тву­ет плат­форма CyberDefenders. В этой статье я покажу ход рас­сле­дова­ния киберин­циден­та на при­мере лабора­тор­ной работы с это­го ресур­са — CyberCorp Case 1.

Мы научим­ся получать необ­ходимые дан­ные из основных арте­фак­тов опе­раци­онной сис­темы Windows. Наша задача — понять, как зло­умыш­ленник ском­про­мети­ровал компь­ютер в сети орга­низа­ции, как зак­репил­ся в сис­теме, какие вре­донос­ные фай­лы исполь­зовал и к каким объ­ектам локаль­ной сети получил дос­туп.

По сце­нарию кей­са в исхо­дящем тра­фике инфраструк­туры ком­пании CyberCorp выяв­лен ряд ано­малий, что сви­детель­ству­ет о ее ком­про­мета­ции. Спе­циалис­ты по реаги­рова­нию на компь­ютер­ный инци­дент изо­лиро­вали один из потен­циаль­но ском­про­мети­рован­ных хос­тов от кор­поратив­ной сети и соб­рали основные арте­фак­ты Windows. Фай­лы арте­фак­тов находят­ся в архи­ве, который необ­ходимо заг­рузить.

По резуль­татам решения кей­са нас поп­росят отве­тить на ряд воп­росов. Я покажу лишь ход решения и не буду под­све­чивать отве­ты. Ради тре­ниров­ки можешь пов­торить весь про­цесс самос­тоятель­но и отве­тить — для зак­репле­ния матери­ала.

Полученные артефакты Windows

  1. Amcache.hve — файл реес­тра, содер­жащий информа­цию о запус­каемых при­ложе­ниях. Начиная с Windows 8 и Windows Server 2012 путь к фай­лу реес­тра Amcache хра­нит­ся в \%SystemRoot%\AppCompat\Programs\Amcache.hve.
  2. AppCompatCache.reg — информа­ция из клю­ча HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache кус­та реес­тра SYSTEM (C:\Windows\System32\configSystem). В дан­ном клю­че хра­нит­ся арте­факт Shimcache — это механизм, который обес­печива­ет обратную сов­мести­мость ста­рых при­ложе­ний с более новыми вер­сиями Windows. В нем содер­жится сле­дующая информа­ция: путь к исполня­емо­му фай­лу, раз­мер фай­ла, вре­мя пос­ледне­го изме­нения.
  3. Фай­лы реес­тра: default, SAM, SECURITY, software, system. Рас­положе­ны эти фай­лы в катало­ге C:\Windows\System32\config.
  4. Memdump — файл обра­за опе­ратив­ной памяти.
  5. Logs — фай­лы логов опе­раци­онной сис­темы. Они находят­ся в катало­ге C:\Windows\System32\winevt\Logs.
  6. User Registry Hives — файл NTUSER.DAT содер­жит информа­цию, свя­зан­ную с дей­стви­ем поль­зовате­ля. Фай­лы NTUSER.DAT хра­нят­ся в катало­ге %userprofile%.
  7. Windows Prefetch — фай­лы, пред­назна­чен­ные для уско­рения запус­ка при­ложе­ний. Фай­лы Prefetch содер­жат имя исполня­емо­го фай­ла, спи­сок динами­чес­ких биб­лиотек, исполь­зуемых исполня­емым фай­лом, количес­тво запус­ков исполня­емо­го фай­ла и мет­ку вре­мени, ука­зыва­ющую, ког­да прог­рамма была запуще­на в пос­ледний раз. Дан­ные фай­лы хра­нят­ся в катало­ге C:\Windows\Prefetch.
  8. MFT (глав­ная таб­лица фай­лов) — сис­темный файл, содер­жащий метадан­ные объ­екта фай­ловой сис­темы. Этот файл рас­положен в кор­не каж­дого раз­дела NTFS, выг­рузить его мож­но с помощью FTK Imager.
  9. OBJECTS.DATA — файл, содер­жащий пос­тоян­ные клас­сы WMI (Windows Management Instrumentation). Он рас­положен в %SystemRoot%\System32\wbem\Repository.
  10. Се­тевой тра­фик, получен­ный в резуль­тате монито­рин­га инфраструк­туры ком­пании.

Этапы расследования

  1. По­иск точ­ки вхо­да в сис­тему. На дан­ном эта­пе выяс­ним, как зло­умыш­ленник ском­про­мети­ровал сис­тему и какие исполь­зовал вре­донос­ные фай­лы.
  2. По­иск спо­соба зак­репле­ния. Выяс­ним, как зло­умыш­ленни­ки обес­печили себе пос­тоян­ный дос­туп к сис­теме.
  3. По­иск методов боково­го переме­щения по сети. На этом эта­пе выявим дей­ствия зло­умыш­ленни­ка пос­ле получе­ния дос­тупа к ском­про­мети­рован­ному компь­юте­ру.

Используемые утилиты

  1. Ути­литы Эри­ка Цим­мерма­на: AmcacheParser, Registry Explorer, AppCompatCacheParser, MFTECmd.
  2. Ути­литы NirSoft: fulleventlogview, winprefetchview.
  3. UserAssist.
  4. Wireshark — инс­тру­мент для ана­лиза сетевых про­токо­лов.
  5. Olevba — инс­тру­мент для извле­чения и ана­лиза исходно­го кода мак­росов VBA из докумен­тов MS Office (OLE и OpenXML).
  6. Volatility 3 — инс­тру­мент для извле­чения дан­ных из обра­за опе­ратив­ной памяти.

Пе­ред тем как начать изу­чать арте­фак­ты ском­про­мети­рован­ного компь­юте­ра, получим информа­цию о вер­сии опе­раци­онной сис­темы, дату уста­нов­ки, имя поль­зовате­ля. Для это­го заг­рузим куст реес­тра software в ути­литу Registry Explorer и перей­дем к клю­чу SOFTWARE\Microsoft\Windows NT\CurrentVersion.

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23872/1.pngИн­форма­ция об иссле­дуемом компь­юте­ре

На иссле­дуемом компь­юте­ре уста­нов­лена опе­раци­онная сис­тема Windows 10 Enterprise Evaluation, дата уста­нов­ки — 17 июня 2020 года в 7:13:49 (параметр InstallDate), вер­сия сбор­ки — 17134, вла­делец — John Goldberg.

Поиск точки входа

На дан­ном эта­пе иссле­дуем образ опе­ратив­ной памяти, сетевой тра­фик и глав­ную таб­лицу раз­делов.

Анализ образа оперативной памяти

Най­дем активные сетевые соеди­нения и вре­донос­ный про­цесс. Для это­го вос­поль­зуем­ся ути­литой Volatility 3.

Вы­явим все сетевые соеди­нения с сос­тоянием ESTABLISHED и про­верим все IP-адре­са на VirusTotal.

python3 vol.py -f memdump.mem windows.netscan.NetScan

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23871/2.pngВре­донос­ное сетевое соеди­нение

Про­цесс rundll32.exe (PID про­цес­са — 4224) уста­новил сетевое соеди­нение с управля­ющим сер­вером по адре­су 196.6.112.70. Оз­накомим­ся с резуль­татом про­вер­ки выб­ранно­го адре­са на VirusTotal.

По­лучим дерево про­цес­сов и най­дем про­цесс с иден­тифика­тором 4224.

python3 vol.py -f memdump.mem windows.pstree.PsTree

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23870/3.pngИн­форма­ция о вре­донос­ном про­цес­се

Ро­дитель­ский иден­тифика­тор вре­донос­ного про­цес­са rundll32.exe — 7320, но про­цес­са с таким иден­тифика­тором не обна­руже­но.

Вос­поль­зуем­ся пла­гином malfind ути­литы Volatility 3 и най­дем код, внед­ренный в адресное прос­транс­тво про­цес­сов опе­раци­онной сис­темы.

python3 vol.py -f memdump.mem windows.malfind.Malfind

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23869/4.pngРе­зуль­тат работы пла­гина malfind

Из рисун­ка выше вид­но, что вре­донос­ный код внед­рен в адресное прос­транс­тво про­цес­са winlogon.exe (PID 3232).

От­лично! Мы обна­ружи­ли управля­ющий центр и вре­донос­ный про­цесс.

Анализ сетевого трафика

Про­ана­лизи­руем сетевой тра­фик при помощи Wireshark и най­дем инте­рес­ные арте­фак­ты. В пер­вом дам­пе тра­фика обна­руже­на поч­товая сес­сия по про­токо­лу SMTP. Поп­робу­ем получить сооб­щения eml. Для это­го перехо­дим на вклад­ку «Файл → Экспор­тировать объ­екты → IMF». Сох­раним все сооб­щения для иссле­дова­ния.

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23868/5.pngСпи­сок сооб­щений, обна­ружен­ных в сетевом тра­фике

В сооб­щении от [email protected] содер­жится запаро­лен­ный архив attach.zip. Иссле­дуем фай­лы из него.

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23867/6.pngСо­дер­жимое сооб­щения

Как видишь, пароль от архи­ва нашел­ся в пись­ме.

Анализ вредоносных файлов

В архи­ве лежит документ Why Saudi Arabia Will Lose The Next Oil Price War.docx (MD5: aa7ee7f712780aebe9136cabc24bf875). Меня­ем рас­ширение на .zip и смот­рим его содер­жимое. Вре­донос­ных мак­росов здесь нет, но в фай­ле ./word/_rels/settings.xml.rels обна­ружи­лась ссыл­ка на заг­рузку шаб­лона Supplement.dotm. Такой век­тор ата­ки называ­ется Remote Template Injection и под­робно опи­сан в бло­ге Сун­гва­на Цоя.

Ос­новной прин­цип ата­ки зак­люча­ется в сле­дующем. Зло­умыш­ленни­ки залили на свой сер­вер файл шаб­лона докумен­та Word (.dotm) и внед­рили в код докумен­та Why Saudi Arabia... .docx ссыл­ку на заг­рузку вре­донос­ного шаб­лона. Если документ открыть, заг­рузит­ся шаб­лон, содер­жащий мак­рос.

https://st768.s3.eu-central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23866/7.pngАд­рес для заг­рузки вре­донос­ного докумен­та .dotm

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...