Категория > Новости > Уроки форензики. Извлекаем артефакты из дампа памяти сервера - «Новости»

Уроки форензики. Извлекаем артефакты из дампа памяти сервера - «Новости»


12-07-2023, 11:42. Автор: Андрей
BSidesJeddah-Part2 с ресур­са CyberDefenders, которое мы сегод­ня раз­берем.

На­ша задача — выявить при­чины взло­ма веб‑сер­виса, раз­верну­того на Oracle WebLogic Server, и научить­ся извле­кать основные арте­фак­ты из обра­за опе­ратив­ной памяти Windows.


По сце­нарию устрой­ство монито­рин­га сетевой безопас­ности зафик­сирова­ло подоз­ритель­ный тра­фик, исхо­дящий от одно­го из веб‑сер­веров орга­низа­ции. Мы дол­жны про­ана­лизи­ровать образ памяти сер­вера и вос­ста­новить кар­тину взло­ма информа­цион­ного ресур­са.


Читайте также - Седельный тягач Shacman — это надежная, экономичная и недорогая техника для грузоперевозки. Эти грузовики представлены сериями - тягачи Shacman 6x4 по доступным ценам.

Используемые утилиты



Volatility Framework 2.6.1 — инс­тру­мент, реали­зован­ный на Python вер­сии 2 и пред­назна­чен­ный для извле­чения арте­фак­тов из образцов энер­гозави­симой памяти.
Volatility 3 — обновлен­ный инс­тру­мент для извле­чения арте­фак­тов, раз­работан­ный на Python 3.

Заг­рузим файл ар­хива с арте­фак­тами, извле­чем из него файл memory.mem (SHA256:5b3b1e1c92ddb1c128eca0fa8c917c16c275ad4c95b19915a288a745f9960f39) и прис­тупим к иссле­дова­нию.


 

Исследование образа памяти


При работе с этим обра­зом мы будем поль­зовать­ся фрей­мвор­ком Volatility вер­сий 2 и 3. Их основное раз­личие опи­сано в до­кумен­тации. Удобс­тво работы с треть­ей вер­сией зак­люча­ется в том, что она не исполь­зует про­фили опе­раци­онной сис­темы, а уме­ет опре­делять их на лету, с помощью таб­лиц сим­волов Windows. Но боль­шинс­тво пла­гинов раз­работа­но для вто­рой вер­сии.


По­лучим про­филь опе­раци­онной сис­темы для работы с ути­литой Volatility 2.


python2.vol.py -fc63-bsidesjeddah-mem/memory.mem imageinfo

Про­филь опе­раци­онной сис­темы — Win2016x64_14393.


Преж­де чем мы прис­тупим к ана­лизу арте­фак­тов, необ­ходимо понять, с какой сис­темой мы работа­ем. Для это­го получим вер­сию опе­раци­онной сис­темы, имя компь­юте­ра, а так­же сетевой адрес. Про­бежим­ся по клю­чам реес­тра с исполь­зовани­ем пла­гина printkey.


Уроки форензики. Извлекаем артефакты из дампа памяти сервера - «Новости»
Имя компь­юте­ра

Имя компь­юте­ра — WIN-8QOTRH7EMHC.


Спи­сок интерфей­сов

Мы получи­ли спи­сок иден­тифика­торов сетевых интерфей­сов. Про­верим каж­дый из них.


Се­тевой адрес сис­темы

Се­тевой адрес компь­юте­ра — 192.168.144.131, IP-адрес выда­ется DHCP-сер­вером 192.168.144.254.


Те­перь получим информа­цию о вер­сии опе­раци­онной сис­темы.


Вер­сия опе­раци­онной сис­темы

Вер­сия опе­раци­онной сис­темы — Windows Server 2016 Standard Evaluation.


По­лучим вре­мя, которое было зафик­сирова­но в момент сня­тия обра­за опе­ратив­ной памяти. Для это­го вос­поль­зуем­ся пла­гином windows.info ути­литы Volatility 3.


python3 vol.py -fc63-bsidesjeddah-mem/memory.mem windows.info

Сис­темное вре­мя — 2021-08-06 16:13:23.


Да­лее попыта­емся вос­ста­новить дей­ствия поль­зовате­ля в сис­теме. Про­ана­лизи­руем исто­рию бра­узе­ра, в дан­ном слу­чае Internet Explorer. Для это­го вос­поль­зуем­ся пла­гином iehistory.


python2.vol.py -fc63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 iehistory >c63-bsidesjeddah-mem/iehistory.txt
Ис­тория iehistory

Нам уда­лось выяс­нить, что 6 августа 2021 года поль­зователь Administrator посетил стра­ницу news.google.com.


Те­перь прис­тупим к поис­ку вре­донос­ной активнос­ти. Для это­го нам необ­ходимо про­ана­лизи­ровать про­цес­сы, сетевой тра­фик, коман­ды запус­ка исполня­емых фай­лов, а так­же иссле­довать стро­ки про­цес­сов.


Перейти обратно к новости