Уроки форензики. Расследуем киберинцидент CyberCorp Case 1

Мы научим­ся получать необ­ходимые дан­ные из основных арте­фак­тов опе­раци­онной сис­темы Windows. Наша задача — понять, как зло­умыш­ленник ском­про­мети­ровал компь­ютер в сети орга­низа­ции, как зак­репил­ся в сис­теме, какие вре­донос­ные фай­лы исполь­зовал и к каким объ­ектам локаль­ной сети получил дос­туп.

По сце­нарию кей­са в исхо­дящем тра­фике инфраструк­туры ком­пании CyberCorp выяв­лен ряд ано­малий, что сви­детель­ству­ет о ее ком­про­мета­ции. Спе­циалис­ты по реаги­рова­нию на компь­ютер­ный инци­дент изо­лиро­вали один из потен­циаль­но ском­про­мети­рован­ных хос­тов от кор­поратив­ной сети и соб­рали основные арте­фак­ты Windows. Фай­лы арте­фак­тов находят­ся в архи­ве, который необ­ходимо заг­рузить.

По резуль­татам решения кей­са нас поп­росят отве­тить на ряд воп­росов. Я покажу лишь ход решения и не буду под­све­чивать отве­ты. Ради тре­ниров­ки можешь пов­торить весь про­цесс самос­тоятель­но и отве­тить — для зак­репле­ния матери­ала.

Полученные артефакты Windows

1. Amcache.hve — файл реес­тра, содер­жащий информа­цию о запус­каемых при­ложе­ниях. Начиная с Windows 8 и Windows Server 2012 путь к фай­лу реес­тра Amcache хра­нит­ся в \%SystemRoot%\AppCompat\Programs\Amcache.hve.
2. AppCompatCache.reg — информа­ция из клю­ча HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache кус­та реес­тра SYSTEM (C:\Windows\System32\configSystem). В дан­ном клю­че хра­нит­ся арте­факт Shimcache — это механизм, который обес­печива­ет обратную сов­мести­мость ста­рых при­ложе­ний с более новыми вер­сиями Windows. В нем содер­жится сле­дующая информа­ция: путь к исполня­емо­му фай­лу, раз­мер фай­ла, вре­мя пос­ледне­го изме­нения.
3. Фай­лы реес­тра: default, SAM, SECURITY, software, system. Рас­положе­ны эти фай­лы в катало­ге C:\Windows\System32\config.
4. Memdump — файл обра­за опе­ратив­ной памяти.
5. Logs — фай­лы логов опе­раци­онной сис­темы. Они находят­ся в катало­ге C:\Windows\System32\winevt\Logs.
6. User Registry Hives — файл NTUSER.DAT содер­жит информа­цию, свя­зан­ную с дей­стви­ем поль­зовате­ля. Фай­лы NTUSER.DAT хра­нят­ся в катало­ге %userprofile%.
7. Windows Prefetch — фай­лы, пред­назна­чен­ные для уско­рения запус­ка при­ложе­ний. Фай­лы Prefetch содер­жат имя исполня­емо­го фай­ла, спи­сок динами­чес­ких биб­лиотек, исполь­зуемых исполня­емым фай­лом, количес­тво запус­ков исполня­емо­го фай­ла и мет­ку вре­мени, ука­зыва­ющую, ког­да прог­рамма была запуще­на в пос­ледний раз. Дан­ные фай­лы хра­нят­ся в катало­ге C:\Windows\Prefetch.
8. MFT (глав­ная таб­лица фай­лов) — сис­темный файл, содер­жащий метадан­ные объ­екта фай­ловой сис­темы. Этот файл рас­положен в кор­не каж­дого раз­дела NTFS, выг­рузить его мож­но с помощью FTK Imager.
9. OBJECTS.DATA — файл, содер­жащий пос­тоян­ные клас­сы WMI (Windows Management Instrumentation). Он рас­положен в %SystemRoot%\System32\wbem\Repository.
10. Се­тевой тра­фик, получен­ный в резуль­тате монито­рин­га инфраструк­туры ком­пании.

Этапы расследования

1. По­иск точ­ки вхо­да в сис­тему. На дан­ном эта­пе выяс­ним, как зло­умыш­ленник ском­про­мети­ровал сис­тему и какие исполь­зовал вре­донос­ные фай­лы.
2. По­иск спо­соба зак­репле­ния. Выяс­ним, как зло­умыш­ленни­ки обес­печили себе пос­тоян­ный дос­туп к сис­теме.
3. По­иск методов боково­го переме­щения по сети. На этом эта­пе выявим дей­ствия зло­умыш­ленни­ка пос­ле получе­ния дос­тупа к ском­про­мети­рован­ному компь­юте­ру.

Используемые утилиты

1. Ути­литы Эри­ка Цим­мерма­на: AmcacheParser, Registry Explorer, AppCompatCacheParser, MFTECmd.
2. Ути­литы NirSoft: fulleventlogview, winprefetchview.
3. UserAssist.
4. Wireshark — инс­тру­мент для ана­лиза сетевых про­токо­лов.
5. Olevba — инс­тру­мент для извле­чения и ана­лиза исходно­го кода мак­росов VBA из докумен­тов MS Office (OLE и OpenXML).
6. Volatility 3 — инс­тру­мент для извле­чения дан­ных из обра­за опе­ратив­ной памяти.

Пе­ред тем как начать изу­чать арте­фак­ты ском­про­мети­рован­ного компь­юте­ра, получим информа­цию о вер­сии опе­раци­онной сис­темы, дату уста­нов­ки, имя поль­зовате­ля. Для это­го заг­рузим куст реес­тра software в ути­литу Registry Explorer и перей­дем к клю­чу SOFTWARE\Microsoft\Windows NT\CurrentVersion.

На иссле­дуемом компь­юте­ре уста­нов­лена опе­раци­онная сис­тема Windows 10 Enterprise Evaluation, дата уста­нов­ки — 17 июня 2020 года в 7:13:49 (параметр InstallDate), вер­сия сбор­ки — 17134, вла­делец — John Goldberg.

Поиск точки входа

На дан­ном эта­пе иссле­дуем образ опе­ратив­ной памяти, сетевой тра­фик и глав­ную таб­лицу раз­делов.

Анализ образа оперативной памяти

Най­дем активные сетевые соеди­нения и вре­донос­ный про­цесс. Для это­го вос­поль­зуем­ся ути­литой Volatility 3.

Вы­явим все сетевые соеди­нения с сос­тоянием ESTABLISHED и про­верим все IP-адре­са на VirusTotal.

Про­цесс rundll32.exe (PID про­цес­са — 4224) уста­новил сетевое соеди­нение с управля­ющим сер­вером по адре­су 196.6.112.70. Оз­накомим­ся с резуль­татом про­вер­ки выб­ранно­го адре­са на VirusTotal.

По­лучим дерево про­цес­сов и най­дем про­цесс с иден­тифика­тором 4224.

Ро­дитель­ский иден­тифика­тор вре­донос­ного про­цес­са rundll32.exe — 7320, но про­цес­са с таким иден­тифика­тором не обна­руже­но.

Вос­поль­зуем­ся пла­гином malfind ути­литы Volatility 3 и най­дем код, внед­ренный в адресное прос­транс­тво про­цес­сов опе­раци­онной сис­темы.

Из рисун­ка выше вид­но, что вре­донос­ный код внед­рен в адресное прос­транс­тво про­цес­са winlogon.exe (PID 3232).

От­лично! Мы обна­ружи­ли управля­ющий центр и вре­донос­ный про­цесс.

Анализ сетевого трафика

Про­ана­лизи­руем сетевой тра­фик при помощи Wireshark и най­дем инте­рес­ные арте­фак­ты. В пер­вом дам­пе тра­фика обна­руже­на поч­товая сес­сия по про­токо­лу SMTP. Поп­робу­ем получить сооб­щения eml. Для это­го перехо­дим на вклад­ку «Файл → Экспор­тировать объ­екты → IMF». Сох­раним все сооб­щения для иссле­дова­ния.

В сооб­щении от richard.gorn@gmail.com содер­жится запаро­лен­ный архив attach.zip. Иссле­дуем фай­лы из него.

Как видишь, пароль от архи­ва нашел­ся в пись­ме.

Анализ вредоносных файлов

В архи­ве лежит документ Why Saudi Arabia Will Lose The Next Oil Price War.docx (MD5: aa7ee7f712780aebe9136cabc24bf875). Меня­ем рас­ширение на .zip и смот­рим его содер­жимое. Вре­донос­ных мак­росов здесь нет, но в фай­ле ./word/_rels/settings.xml.rels обна­ружи­лась ссыл­ка на заг­рузку шаб­лона Supplement.dotm. Такой век­тор ата­ки называ­ется Remote Template Injection и под­робно опи­сан в бло­ге Сун­гва­на Цоя.

Ос­новной прин­цип ата­ки зак­люча­ется в сле­дующем. Зло­умыш­ленни­ки залили на свой сер­вер файл шаб­лона докумен­та Word (.dotm) и внед­рили в код докумен­та Why Saudi Arabia... .docx ссыл­ку на заг­рузку вре­донос­ного шаб­лона. Если документ открыть, заг­рузит­ся шаб­лон, содер­жащий мак­рос.