Тайна казначейского ноутбука. Используем форензику, чтобы раскрыть ограбление

The hacker community, skeletons hacked computers. Pop art retro vector illustration

Сегодня нас ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!

Предыстория инцидента

Итак, перед нами ноутбук с установленной на борту Windows 10, который входил в корпоративный домен и использовался как основная рабочая машина сотрудника. Помимо этого, его могли брать в командировку, поработать домой и вне основного офиса (то есть в наличии VPN или другие коннекты к корпоративному периметру).

У пользователя по умолчанию отсутствовали локальные права администратора, форсированы доменные политики безопасности (парольная политика, шифрование томов BitLocker, включен встроенный файрвол, активирован UAC), установлен AV одного из известных российских вендоров и без ограничений предоставлен доступ в интернет. Компьютер принадлежал казначею, одной из главных задач которого были составление и проведение финансовых платежных документов (транзакций в ДБО).

Организация, которой принадлежал ноутбук, выявила у себя несанкционированное проведение платежей в ДБО одного из подключенных банков, причем все операции были выполнены от имени легитимных пользователей (финансового директора и главного бухгалтера). Круглые денежные суммы переведены на неизвестные счета третьих лиц в иностранные банки. Системы безопасности организации не зафиксировали на тот момент никакой подозрительной активности (промолчали IDS/IPS-системы и SEIM-коннектор, подключенный к ERP-модулям, AV и WAF).

Предполагается, что злоумышленники взломали ноутбук удаленно по сети или с получением физического доступа к нему либо это сговор уполномоченных лиц и мошенничество, связанное с инсайдерами. Вот со всем этим мы и будем сегодня разбираться.

WARNING

Всегда ясно и четко осознавай, какое именно действие и для какой цели ты совершаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несет ответственности за любой ущерб, причиненный из-за неправильного использования материалов данной статьи.

Гипотезы

Начнем распутывать этот клубок событий. Все, что мы имеем в самом начале, — это информация, описанная выше, плюс сам ноутбук, который, после того как обнаружилось мошенничество, был немедленно изъят у сотрудника. Гипотезы, в принципе, всего две: либо это внутренний сговор сотрудников организации, выставивших все события и условия так, чтобы это выглядело внешним взломом, либо это несанкционированный доступ хакеров к ноутбуку. В первом случае мы сделаем акцент на поиске артефактов и, возможно, допущенной оплошности, явно указывающих на сотрудника. Во втором это обнаружение артефактов удаленного взлома (отключение средств защиты, использование эксплоитов и вредоносного ПО).

Стоит сказать, что на ноутбуке установлены средства защиты, обеспечивающие неплохой базовый уровень безопасности. Это наводит на мысль о компетенции взломщиков выше средней. Однако, как было отмечено, ноут могли выносить за пределы офиса и включать вне действия домена, где корпоративные средства защиты не работают. Таким образом, мы получаем риски физического доступа к системе и возможность снять дамп всех данных на жестком диске (включая сохраненные пароли, ключи в реестре и подобное), «перезалить» ОС и стереть следы преступления.

Уязвимые места и поиск сценария взлома

Прежде чем мы приступим к форензик-процедурам, еще несколько ссылок на интересные материалы, которые дадут тебе пищу для размышления и могут натолкнуть на «возможные сценарии» взлома:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


"Иван Пискунов : Технический эксперт, ресерчер, участник CTF-команды CraZY Geek$, 10 лет в индустрии ИБ. Автор блога ipiskunov.blogspot.com. Канал в telegram @w2hack или t.me/w2hack. Увлекается миром Unix, malware analysis, reverse engineering и тестированием сетей на проникновение."

Комментарии (18)

  • Может быть я слишком самонадеян, но первая мысль которая пришла в голову после прочтения заголовка - "Какой идиот догадался использовать W10 на бухгалтерском ноутбуке?". Они вообще читали лицензионное соглашение перед установкой?
    W7 ещё поддерживается, и W8.1 тоже.

  • Спасибо за статью.
    Единственное что не понятно, так это почему сначала сделали копию диска, а только потом дамп памяти. И на сколько в принципе он в данном инциденте был нужен?

    • Ноутбук на экспертизу к нам в лабораторию поступил только через несколько дней после взлома и уже в выключенном состоянии, то есть часть артефактов находящихся в RAM сразу после инцидента изначально была утеряна, и поэтому первым шагом было выбрано создание образа HDD. К тому же за рамками статьи остался еще не малый пласт работы, а именно изучение серверного бэканда в виде логов AD, DHCP, UTM-шлюза, HeplDesk'а и т.п.

      • Не совсем тогда понятна цель снятия дампа RAM. Ведь все данные из оперативной памяти утеряны.

        • Да, прощу прощения, не уточнил этот вопрос сразу. Дамп оперативной памяти эксперты делают в любом случае даже если шансы найти там артефакты в последующем очень низкие. Во-первых, этого требует сама процедура расследования (методика ресерча и нормативные документы), а во-вторых, в некоторых случаях специальным софтом оттуда все таки можно попробовать что-то да все таки вытянуть. К примеру, есть малварь "безтелесного вида" (https://pikabu.ru/story/chto_takoe_bestelesnyiy_virus_4849870), когда вредоносный код находится только в RAM и изначально не имеет своего бинарика на HDD, либо после запуска копирует себя в RAM удаляет свой исполняемый файл (т.е. артефакты можно найти только в RAM). Еще один случай, это когда из автостарта (автозагрузка, службы) запускается безобидный, но все же "левый" процесс, который не детектируется AV как вредонос, но который открывает либо порт на входящее соединение либо анализирует tasklist и ищет артефакты использования песочницы, vm или отладчика. Еще как вариант по значениям хешей системных процессов можно попробовать определить не был пропатчен, к примеру GUI-шел (тот же explorer.exe) и т.д.

          В нашем кейсе дамп RAM мы снимали с загруженной хостовой ОС. Следов малвари, там понятное дело же там уже не нашлось, но были были интересные :
          1. часть

          • Иван,доброго дня. у нас схожая проблема. В какой вы организации работаете, проводите экспертизы ? Оставьте контакт плиз

          • Мои контакты указаны в подписи, связывайтесь любым удобным способом

  • В целом стандартный сценарий для такого преступление.
    Однако понравилось, что смогли обнаружить момент установки вредоносного ПО и соответственно канал как вредоносное ПО попало на рабочую станцию. Сначала подумал, что злоумышленники получили контроль над компьютерами сисадминов и заразили их софт (что немного необычно), но по ходу все было проще.
    Просто инсайдер со из ИТ поддержки?

    • Инсайдер был сотрудником из helpDesk'а, и как у инженера тех поддредки у него были права администратора. За неделю до инцидента ноутбук забирали на "профилактическое обслуживание" в это же время, как предполагается были временно отключены средства защиты и подсажена малварь. Дальше действовали внешние злоумышленники, используя бэкдор они получили доступ к машине (благодаря инкапсуляции DNS корпоративные IDS\IPS ничего не отловили), изучили сценарий типового рабочего дня казначея и в день Х провернули всю операцию. Можно сказать что это целенаправленная (APT) атака, а инсайдер был лишь первым подготовительным этапом.

      • Спасибо за ответ, а что в качестве RAT использовали, подхаченый Ammyy Admin, Teamviewer или использовалось что-то более экзотическое, кастомное?

        • Самого RAT в "живом виде" в системе не нашли, были dll распознаваемые как "not-a-virus:RemoteAdmin.Win32.RAT.a,Backdoor.Drostex" и следы его сетевой активности. Скорее всего это была кастомная доработка уже известной сигнатуры бэкдора (в DarkNet'е все это можно купить с исходными кодами) либо какая-то собственная разработка на тот момент не детектируемая установленным AV

  • То есть в итоге, ключевой причиной потери средств стал всё-таки человеческий фактор, так как казначею было лень вынимать ключ, уходя на обед.

  • Если кратко о том как были сформированы выводы по расследованию.
    В Shadow Copy были найдены части кода малвари, аналогичные сигнатуры были найдены и в pagefile.sys, в ветках реестра "подозрительные ключи" указывающие на запуск посторонних служб (RAT модуль), в системных директориях %Windows% были восстановлены из allocated-файлов зараженные dll, скаченные дроппером. Так же были идентифицированы все ID USB-устройства подключенные к машине в момент взлома, это оказались токены с ЭП. Опции установленного антивируса в части мониторинга сети в день взлома так же были изменены. При анализе сетевого стека были обнаружены Established-соединения с IP-адресами имеющим плохую репутацию (Botnet-подсети). И по сумме всех этих обстоятельств были сделаны аргументированные выводы, что сотрудник не имел отношения к мошенничеству, хотя его безалаберное отношение отчасти и послужило на руку взломщикам. Однозначно действовали профессионалы знающие что и как делать, и кое-кто как позже выяснилось был инсайдером

  • Иначе, какой эксперт, такая и статья.

  • Статья действительно интересная, подробная и весьма познавательная. Однако по факту - несколько скомканная в конце. Если перевести это на знаменитый пример "Как нарисовать сову" то по сути статья выглядит так: "Чтоб нарисовать сову потребуются следующие инструменты: карандаши, бумага, чернила...карандаши бывают следующих типов....*подробное описание марок карандашей*...в свою очередь бумага бывает следующих вариаций в зависимости от ваших задач....*подробное описание видов бумаги*. И в самом конце: нарисуйте круг, дорисуйте сову. Готово.

    Проще говоря, я думаю заголовок немного не соответствует сути статьи. Сама история тут это первая и последняя главы. И никаких подробностей процедуры не содержит.

    • Представленный кейс был довольно большим по обьему, на практике только его техническое исследование заняло несколько дней, и еще больше написание Отчета. И, к сожалению, остановиться на абсолютно всех подробностях и деталях без исключения в одной статье нет возможности, так как материал имеет свои ограничения на публикацию. Наша идея и ключевой посыл заключались в том, что бы продемонстрировать подход экспертов, используемые инструменты в работе, отметить основные артефакты для сбора и базовые источники, где их нужно искать в системе. К тому же часть данных в виде скриншотов или дампов памяти невозможно представить в статье из-за ограничений NDA с компанией у которой и имел место быть этот инцидент.

      За юмор с совой спасибо:)

      • Насчёт "показать подход" - к сожалению, это так и не было сделано - были лишь предоставлены методики, а их связный алгоритм применения - нет. Но за статью все равно спасибо.