Уроки форензики. Расследуем киберинцидент CyberCorp Case 1 - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Популярные статьи
  • 15 апрель 2022, 22:22
Наш опрос



Наши новости


РЕКЛАМА


ВАША РЕКЛАМА
ДОБАВИТЬ БАННЕР


1-12-2021, 00:02
Уроки форензики. Расследуем киберинцидент CyberCorp Case 1 - «Новости»
Рейтинг:
Категория: Новости

Hack The Box, Root Me и VulnHub, а спе­циаль­но для защит­ников сущес­тву­ет плат­форма CyberDefenders. В этой статье я покажу ход рас­сле­дова­ния киберин­циден­та на при­мере лабора­тор­ной работы с это­го ресур­са — CyberCorp Case 1.

Мы научим­ся получать необ­ходимые дан­ные из основных арте­фак­тов опе­раци­онной сис­темы Windows. Наша задача — понять, как зло­умыш­ленник ском­про­мети­ровал компь­ютер в сети орга­низа­ции, как зак­репил­ся в сис­теме, какие вре­донос­ные фай­лы исполь­зовал и к каким объ­ектам локаль­ной сети получил дос­туп.


По сце­нарию кей­са в исхо­дящем тра­фике инфраструк­туры ком­пании CyberCorp выяв­лен ряд ано­малий, что сви­детель­ству­ет о ее ком­про­мета­ции. Спе­циалис­ты по реаги­рова­нию на компь­ютер­ный инци­дент изо­лиро­вали один из потен­циаль­но ском­про­мети­рован­ных хос­тов от кор­поратив­ной сети и соб­рали основные арте­фак­ты Windows. Фай­лы арте­фак­тов находят­ся в архи­ве, который необ­ходимо заг­рузить.


По резуль­татам решения кей­са нас поп­росят отве­тить на ряд воп­росов. Я покажу лишь ход решения и не буду под­све­чивать отве­ты. Ради тре­ниров­ки можешь пов­торить весь про­цесс самос­тоятель­но и отве­тить — для зак­репле­ния матери­ала.


 

Полученные артефакты Windows




  1. Amcache.hve — файл реес­тра, содер­жащий информа­цию о запус­каемых при­ложе­ниях. Начиная с Windows 8 и Windows Server 2012 путь к фай­лу реес­тра Amcache хра­нит­ся в %SystemRoot%AppCompatProgramsAmcache.hve.


  2. AppCompatCache.reg — информа­ция из клю­ча HKLMSYSTEMCurrentControlSetControlSession ManagerAppCompatCacheAppCompatCache кус­та реес­тра SYSTEM (C:WindowsSystem32configSystem). В дан­ном клю­че хра­нит­ся арте­факт Shimcache — это механизм, который обес­печива­ет обратную сов­мести­мость ста­рых при­ложе­ний с более новыми вер­сиями Windows. В нем содер­жится сле­дующая информа­ция: путь к исполня­емо­му фай­лу, раз­мер фай­ла, вре­мя пос­ледне­го изме­нения.

  3. Фай­лы реес­тра: default, SAM, SECURITY, software, system. Рас­положе­ны эти фай­лы в катало­ге C:WindowsSystem32config.


  4. Memdump — файл обра­за опе­ратив­ной памяти.


  5. Logs — фай­лы логов опе­раци­онной сис­темы. Они находят­ся в катало­ге C:WindowsSystem32winevtLogs.

  6. User Registry Hives — файл NTUSER.DAT содер­жит информа­цию, свя­зан­ную с дей­стви­ем поль­зовате­ля. Фай­лы NTUSER.DAT хра­нят­ся в катало­ге %userprofile%.

  7. Windows Prefetch — фай­лы, пред­назна­чен­ные для уско­рения запус­ка при­ложе­ний. Фай­лы Prefetch содер­жат имя исполня­емо­го фай­ла, спи­сок динами­чес­ких биб­лиотек, исполь­зуемых исполня­емым фай­лом, количес­тво запус­ков исполня­емо­го фай­ла и мет­ку вре­мени, ука­зыва­ющую, ког­да прог­рамма была запуще­на в пос­ледний раз. Дан­ные фай­лы хра­нят­ся в катало­ге C:WindowsPrefetch.

  8. MFT (глав­ная таб­лица фай­лов) — сис­темный файл, содер­жащий метадан­ные объ­екта фай­ловой сис­темы. Этот файл рас­положен в кор­не каж­дого раз­дела NTFS, выг­рузить его мож­но с помощью FTK Imager.


  9. OBJECTS.DATA — файл, содер­жащий пос­тоян­ные клас­сы WMI (Windows Management Instrumentation). Он рас­положен в %SystemRoot%System32wbemRepository.

  10. Се­тевой тра­фик, получен­ный в резуль­тате монито­рин­га инфраструк­туры ком­пании.


 

Этапы расследования



  1. По­иск точ­ки вхо­да в сис­тему. На дан­ном эта­пе выяс­ним, как зло­умыш­ленник ском­про­мети­ровал сис­тему и какие исполь­зовал вре­донос­ные фай­лы.

  2. По­иск спо­соба зак­репле­ния. Выяс­ним, как зло­умыш­ленни­ки обес­печили себе пос­тоян­ный дос­туп к сис­теме.

  3. По­иск методов боково­го переме­щения по сети. На этом эта­пе выявим дей­ствия зло­умыш­ленни­ка пос­ле получе­ния дос­тупа к ском­про­мети­рован­ному компь­юте­ру.


 

Используемые утилиты



  1. Ути­литы Эри­ка Цим­мерма­на: AmcacheParser, Registry Explorer, AppCompatCacheParser, MFTECmd.

  2. Ути­литы NirSoft: fulleventlogview, winprefetchview.


  3. UserAssist.


  4. Wireshark — инс­тру­мент для ана­лиза сетевых про­токо­лов.


  5. Olevba — инс­тру­мент для извле­чения и ана­лиза исходно­го кода мак­росов VBA из докумен­тов MS Office (OLE и OpenXML).


  6. Volatility 3 — инс­тру­мент для извле­чения дан­ных из обра­за опе­ратив­ной памяти.


Пе­ред тем как начать изу­чать арте­фак­ты ском­про­мети­рован­ного компь­юте­ра, получим информа­цию о вер­сии опе­раци­онной сис­темы, дату уста­нов­ки, имя поль­зовате­ля. Для это­го заг­рузим куст реес­тра software в ути­литу Registry Explorer и перей­дем к клю­чу SOFTWAREMicrosoftWindows NTCurrentVersion.


Уроки форензики. Расследуем киберинцидент CyberCorp Case 1 - «Новости»
Ин­форма­ция об иссле­дуемом компь­юте­ре

На иссле­дуемом компь­юте­ре уста­нов­лена опе­раци­онная сис­тема Windows 10 Enterprise Evaluation, дата уста­нов­ки — 17 июня 2020 года в 7:13:49 (параметр InstallDate), вер­сия сбор­ки — 17134, вла­делец — John Goldberg.


 

Поиск точки входа


На дан­ном эта­пе иссле­дуем образ опе­ратив­ной памяти, сетевой тра­фик и глав­ную таб­лицу раз­делов.


 

Анализ образа оперативной памяти


Най­дем активные сетевые соеди­нения и вре­донос­ный про­цесс. Для это­го вос­поль­зуем­ся ути­литой Volatility 3.


Вы­явим все сетевые соеди­нения с сос­тоянием ESTABLISHED и про­верим все IP-адре­са на VirusTotal.


python3 vol.py -fmemdump.mem windows.netscan.NetScan
Вре­донос­ное сетевое соеди­нение

Про­цесс rundll32.exe (PID про­цес­са — 4224) уста­новил сетевое соеди­нение с управля­ющим сер­вером по адре­су 196.6.112.70. Оз­накомим­ся с резуль­татом про­вер­ки выб­ранно­го адре­са на VirusTotal.


По­лучим дерево про­цес­сов и най­дем про­цесс с иден­тифика­тором 4224.


python3 vol.py -fmemdump.mem windows.pstree.PsTree
Ин­форма­ция о вре­донос­ном про­цес­се

Ро­дитель­ский иден­тифика­тор вре­донос­ного про­цес­са rundll32.exe — 7320, но про­цес­са с таким иден­тифика­тором не обна­руже­но.


Вос­поль­зуем­ся пла­гином malfind ути­литы Volatility 3 и най­дем код, внед­ренный в адресное прос­транс­тво про­цес­сов опе­раци­онной сис­темы.


python3 vol.py -fmemdump.mem windows.malfind.Malfind
Ре­зуль­тат работы пла­гина malfind

Из рисун­ка выше вид­но, что вре­донос­ный код внед­рен в адресное прос­транс­тво про­цес­са winlogon.exe (PID 3232).


От­лично! Мы обна­ружи­ли управля­ющий центр и вре­донос­ный про­цесс.


 

Анализ сетевого трафика


Про­ана­лизи­руем сетевой тра­фик при помощи Wireshark и най­дем инте­рес­ные арте­фак­ты. В пер­вом дам­пе тра­фика обна­руже­на поч­товая сес­сия по про­токо­лу SMTP. Поп­робу­ем получить сооб­щения eml. Для это­го перехо­дим на вклад­ку «Файл → Экспор­тировать объ­екты → IMF». Сох­раним все сооб­щения для иссле­дова­ния.


Спи­сок сооб­щений, обна­ружен­ных в сетевом тра­фике

В сооб­щении от richard.gorn@gmail.com содер­жится запаро­лен­ный архив attach.zip. Иссле­дуем фай­лы из него.


Со­дер­жимое сооб­щения

Как видишь, пароль от архи­ва нашел­ся в пись­ме.


 

Анализ вредоносных файлов


В архи­ве лежит документ Why Saudi Arabia Will Lose The Next Oil Price War.docx (MD5: aa7ee7f712780aebe9136cabc24bf875). Меня­ем рас­ширение на .zip и смот­рим его содер­жимое. Вре­донос­ных мак­росов здесь нет, но в фай­ле ./word/_rels/settings.xml.rels обна­ружи­лась ссыл­ка на заг­рузку шаб­лона Supplement.dotm. Такой век­тор ата­ки называ­ется Remote Template Injection и под­робно опи­сан в бло­ге Сун­гва­на Цоя.


Ос­новной прин­цип ата­ки зак­люча­ется в сле­дующем. Зло­умыш­ленни­ки залили на свой сер­вер файл шаб­лона докумен­та Word (.dotm) и внед­рили в код докумен­та Why Saudi Arabia... .docx ссыл­ку на заг­рузку вре­донос­ного шаб­лона. Если документ открыть, заг­рузит­ся шаб­лон, содер­жащий мак­рос.


Ад­рес для заг­рузки вре­донос­ного докумен­та .dotm

Теги: CSS

Просмотров: 218
Комментариев: 0:   1-12-2021, 00:02
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle