BSidesJeddah-Part2 с ресур­са CyberDefenders, которое мы сегод­ня раз­берем. На­ша задача — выявить при­чины взло­ма веб‑сер­виса, раз­верну­того на Oracle WebLogic Server, и научить­ся извле­кать основные арте­фак­ты из обра­за опе­ратив­ной памяти Windows. По сце­нарию устрой­ство монито­рин­га сетевой безопас­ности зафик­сирова­ло подоз­ритель­ный тра­фик, исхо­дящий от одно­го из веб‑сер­веров орга­низа­ции. Мы дол­жны про­ана­лизи­ровать образ памяти сер­вера и вос­ста­новить кар­тину взло­ма информа­цион­ного ресур­са. Читайте также - Седельный тягач Shacman — это надежная, экономичная и недорогая техника для грузоперевозки. Эти грузовики представлены сериями - тягачи Shacman 6x4 по доступным ценам. Используемые утилиты Volatility Framework 2.6.1 — инс­тру­мент, реали­зован­ный на Python вер­сии 2 и пред­назна­чен­ный для извле­чения арте­фак­тов из образцов энер­гозави­симой памяти. Volatility 3 — обновлен­ный инс­тру­мент для извле­чения арте­фак­тов, раз­работан­ный на Python 3. Заг­рузим файл ар­хива с арте­фак­тами, извле­чем из него файл memory.mem (SHA256:5b3b1e1c92ddb1c128eca0fa8c917c16c275ad4c95b19915a288a745f9960f39) и прис­тупим к иссле­дова­нию. Исследование образа памяти При работе с этим обра­зом мы будем поль­зовать­ся фрей­мвор­ком Volatility вер­сий 2 и 3. Их основное раз­личие опи­сано в до­кумен­тации. Удобс­тво работы с треть­ей вер­сией зак­люча­ется в том, что она не исполь­зует про­фили опе­раци­онной сис­темы, а уме­ет опре­делять их на лету, с помощью таб­лиц сим­волов Windows. Но боль­шинс­тво пла­гинов раз­работа­но для вто­рой вер­сии. По­лучим про­филь опе­раци­онной сис­темы для работы с ути­литой Volatility 2. python2. 7 vol. py -f c63- bsidesjeddah- mem/ memory. mem imageinfo Про­филь опе­раци­онной сис­темы — Win2016x64_14393. Преж­де чем мы прис­тупим к ана­лизу арте­фак­тов, необ­ходимо понять, с какой сис­темой мы работа­ем. Для это­го получим вер­сию опе­раци­онной сис­темы, имя компь­юте­ра, а так­же сетевой адрес. Про­бежим­ся по клю­чам реес­тра с исполь­зовани­ем пла­гина printkey. Имя компь­юте­раИмя компь­юте­ра — WIN-8QOTRH7EMHC. Спи­сок интерфей­совМы получи­ли спи­сок иден­тифика­торов сетевых интерфей­сов. Про­верим каж­дый из них. Се­тевой адрес сис­темыСе­тевой адрес компь­юте­ра — 192.168.144.131, IP-адрес выда­ется DHCP-сер­вером 192.168.144.254. Те­перь получим информа­цию о вер­сии опе­раци­онной сис­темы. Вер­сия опе­раци­онной сис­темыВер­сия опе­раци­онной сис­темы — Windows Server 2016 Standard Evaluation. По­лучим вре­мя, которое было зафик­сирова­но в момент сня­тия обра­за опе­ратив­ной памяти. Для это­го вос­поль­зуем­ся пла­гином windows.info ути­литы Volatility 3. python3 vol. py -f c63- bsidesjeddah- mem/ memory. mem windows. info Сис­темное вре­мя — 2021-08-06 16:13:23. Да­лее попыта­емся вос­ста­новить дей­ствия поль­зовате­ля в сис­теме. Про­ана­лизи­руем исто­рию бра­узе­ра, в дан­ном слу­чае Internet Explorer. Для это­го вос­поль­зуем­ся пла­гином iehistory. python2. 7 vol. py -f c63- bsidesjeddah- mem/ memory. mem --profile = Win2016x64_ 14393 iehistory