Уроки форензики. Расследуем киберинцидент по следам Log4Shell

В биб­лиоте­ке жур­налиро­вания Java Log4j (вер­сия 2) был обна­ружен экс­пло­ит 0-day, который при­водит к уда­лен­ному выпол­нению кода через регис­тра­цию опре­делен­ной стро­ки. Эта уяз­вимость получи­ла наз­вание Log4Shell и иден­тифика­тор CVE-2021-44228. Биб­лиоте­ка Log4j исполь­зует­ся во мно­гих про­дук­тах, точ­ное количес­тво и перечень которых уста­новить невоз­можно. В этой лабора­тор­ной работе мы научим­ся обна­ружи­вать экс­плу­ата­цию уяз­вимос­ти Log4Shell и иссле­довать арте­фак­ты, которые сви­детель­ству­ют о ее исполь­зовании.

По сце­нарию зло­умыш­ленни­ки взло­мали веб‑сер­вер и получи­ли пол­ный кон­троль над ним. Спе­циалис­ты по реаги­рова­нию на инци­ден­ты сде­лали побито­вую копию сис­темно­го дис­ка ском­про­мети­рован­ной машины на базе опе­раци­онной сис­темы Windows. Заг­рузим файл об­раза и нач­нем его иссле­дова­ние.

По резуль­татам решения кей­са необ­ходимо отве­тить на ряд воп­росов, но я покажу сам про­цесс решения и не буду под­све­чивать отве­ты. Ты можешь пов­торить все самос­тоятель­но, что­бы луч­ше разоб­рать­ся и зак­репить матери­ал.

План исследования

Про­ана­лизи­руем сле­дующие арте­фак­ты опе­раци­онной сис­темы Windows:

1. Фай­лы реес­тра SAM, SOFTWARE, SYSTEM, которые рас­положе­ны в катало­ге C:\Windows\System32\config.
2. Фай­лы логов опе­раци­онной сис­темы. Они находят­ся в катало­ге C:\Windows\System32\winevt\Logs.
3. Фай­лы логов про­дук­та VMware vCenter Server.
4. User Registry Hives — файл NTUSER.DAT, содер­жащий информа­цию, свя­зан­ную с дей­стви­ем поль­зовате­ля. Фай­лы NTUSER.DAT хра­нят­ся в катало­ге %userprofile%.
5. MFT (глав­ная таб­лица фай­лов) — сис­темный файл, содер­жащий метадан­ные объ­екта фай­ловой сис­темы. Этот файл рас­положен в кор­не каж­дого раз­дела NTFS, выг­рузить его мож­но с помощью FTK Imager или R-Studio.

Рас­сле­дова­ние раз­делим на нес­коль­ко эта­пов:

1. По­луче­ние информа­ции об объ­екте иссле­дова­ния.
2. По­иск точ­ки вхо­да в сис­тему. На этом эта­пе выяс­ним, как зло­умыш­ленник ском­про­мети­ровал сис­тему и какие вре­донос­ные фай­лы исполь­зовал.
3. По­иск спо­соба зак­репле­ния. Выяс­ним, как зло­умыш­ленни­ки обес­печили себе пос­тоян­ный дос­туп к сис­теме.

Ис­поль­зуемые ути­литы:

1. Ути­литы EricZimmerman: Registry Explorer, MFTECmd.
2. Ути­литы NirSoft: FullEventLogView.
3. R-Studio — ути­лита для вос­ста­нов­ления дан­ных с дис­ка.
4. Jadx — ути­лита для соз­дания исходно­го кода Java из фай­лов Android Dex и Apk.
5. DIE — прог­рамма для опре­деле­ния типов фай­лов.
6. FTK Imager — инс­тру­мент для ана­лиза и получе­ния обра­зов дис­ка.

Получение информации об объекте исследования

Файл обра­за дис­ка DetectLog4Shell.E01 записан в фор­мате Expert Witness Format (EWF) и содер­жит побито­вую копию дан­ных. Сде­лать циф­ровую копию дис­ка в этом фор­мате мож­но с помощью ути­литы EnCase. При­мон­тиру­ем иссле­дуемый диск в Windows и извле­чем из него арте­фак­ты, необ­ходимые для рас­сле­дова­ния инци­ден­та.

От­кро­ем ути­литу FTK Imager и при­мон­тиру­ем образ дис­ка. Для это­го перехо­дим на вклад­ку File → Image Mounting. В поле Image File выбира­ем образ Webserver.e01 и вво­дим нас­трой­ки, ука­зан­ные ниже.

На­жима­ем Mount. Иссле­дуемый образ дол­жен при­мон­тировать­ся, и мы уви­дим сле­дующую информа­цию.

Мы не можем получить дос­туп к сис­темным фай­лам, пос­коль­ку нам не хва­тает для это­го раз­решений. Вос­поль­зуем­ся ути­литой R-Studio и выг­рузим фай­лы реес­тра SYSTEM, SAM, SOFTWARE, рас­положен­ные в катало­ге %WINDOWS%/Windows/System32/config/.

Мы получим информа­цию из кус­та реес­тра SYSTEM. Заг­рузим ее в ути­литу Registry Explorer, наж­мем File → Load hive, затем выберем иссле­дуемый файл. Информа­ция о вре­мен­ной зоне хра­нит­ся в клю­че TimeZoneKeyName, рас­положен­ном в вет­ви ControlSet001\Control\TimeZoneInformation.

Вре­мен­ные мет­ки во вре­мен­ной зоне — Pacific Standart Time (UTC-8). Имя компь­юте­ра хра­нит­ся в клю­че Windows\System32\config\SYSTEM: ControlSet001\Control\ComputerName\ComputerName.

Ин­форма­ция об IP-адре­се машины рас­положе­на в клю­че ControlSet001\Services\Tcpip\Parameters\Interfaces\{ea202436-8a31-4cb6-9b59-5be0c2bc1692}, где {ea202436-8a31-4cb6-9b59-5be0c2bc1692} — иден­тифика­тор адап­тера. Докумен­тация об этом клю­че реес­тра есть на сай­те Microsoft.

Флаг EnabledDHCP озна­чает, что сетевой адрес выда­ется сер­вером DHCP 192.168.112.254. IP-адрес хос­та — 192.168.112.139.

В клю­че ControlSet001\Services\Tcpip\Parameters хра­нит­ся информа­ция о домен­ном име­ни компь­юте­ра.

До­мен­ное имя компь­юте­ра — cyberdefenders.org. Про­ана­лизи­руем вет­ку реес­тра SOFTWARE, что­бы получить информа­цию об опе­раци­онной сис­теме. Заг­рузим эту вет­ку реес­тра в ути­литу Reg Explorer. В клю­че Microsoft\Windows NT\CurrentVersion содер­жится вер­сия опе­раци­онной сис­темы и текущий номер сбор­ки.