В этой статье я покажу ход рас­сле­дова­ния киберин­циден­та на при­мере лабора­тор­ной работы DetectLog4j с ресур­са CyberDefenders. Мы научим­ся извле­кать арте­фак­ты из обра­за дис­ка Windows, ана­лизи­ровать их и с исполь­зовани­ем этих дан­ных выяс­ним, как зло­умыш­ленник ском­про­мети­ровал сис­тему.

В биб­лиоте­ке жур­налиро­вания Java Log4j (вер­сия 2) был обна­ружен экс­пло­ит 0-day, который при­водит к уда­лен­ному выпол­нению кода через регис­тра­цию опре­делен­ной стро­ки. Эта уяз­вимость получи­ла наз­вание Log4Shell и иден­тифика­тор CVE-2021-44228. Биб­лиоте­ка Log4j исполь­зует­ся во мно­гих про­дук­тах, точ­ное количес­тво и перечень которых уста­новить невоз­можно. В этой лабора­тор­ной работе мы научим­ся обна­ружи­вать экс­плу­ата­цию уяз­вимос­ти Log4Shell и иссле­довать арте­фак­ты, которые сви­детель­ству­ют о ее исполь­зовании.

По сце­нарию зло­умыш­ленни­ки взло­мали веб‑сер­вер и получи­ли пол­ный кон­троль над ним. Спе­циалис­ты по реаги­рова­нию на инци­ден­ты сде­лали побито­вую копию сис­темно­го дис­ка ском­про­мети­рован­ной машины на базе опе­раци­онной сис­темы Windows. Заг­рузим файл об­раза и нач­нем его иссле­дова­ние.

По резуль­татам решения кей­са необ­ходимо отве­тить на ряд воп­росов, но я покажу сам про­цесс решения и не буду под­све­чивать отве­ты. Ты можешь пов­торить все самос­тоятель­но, что­бы луч­ше разоб­рать­ся и зак­репить матери­ал.

 

План исследования

Про­ана­лизи­руем сле­дующие арте­фак­ты опе­раци­онной сис­темы Windows:

  1. Фай­лы реес­тра SAM, SOFTWARE, SYSTEM, которые рас­положе­ны в катало­ге C:\Windows\System32\config.
  2. Фай­лы логов опе­раци­онной сис­темы. Они находят­ся в катало­ге C:\Windows\System32\winevt\Logs.
  3. Фай­лы логов про­дук­та VMware vCenter Server.
  4. User Registry Hives — файл NTUSER.DAT, содер­жащий информа­цию, свя­зан­ную с дей­стви­ем поль­зовате­ля. Фай­лы NTUSER.DAT хра­нят­ся в катало­ге %userprofile%.
  5. MFT (глав­ная таб­лица фай­лов) — сис­темный файл, содер­жащий метадан­ные объ­екта фай­ловой сис­темы. Этот файл рас­положен в кор­не каж­дого раз­дела NTFS, выг­рузить его мож­но с помощью FTK Imager или R-Studio.

Рас­сле­дова­ние раз­делим на нес­коль­ко эта­пов:

  1. По­луче­ние информа­ции об объ­екте иссле­дова­ния.
  2. По­иск точ­ки вхо­да в сис­тему. На этом эта­пе выяс­ним, как зло­умыш­ленник ском­про­мети­ровал сис­тему и какие вре­донос­ные фай­лы исполь­зовал.
  3. По­иск спо­соба зак­репле­ния. Выяс­ним, как зло­умыш­ленни­ки обес­печили себе пос­тоян­ный дос­туп к сис­теме.

Ис­поль­зуемые ути­литы:

  1. Ути­литы EricZimmerman: Registry Explorer, MFTECmd.
  2. Ути­литы NirSoft: FullEventLogView.
  3. R-Studio — ути­лита для вос­ста­нов­ления дан­ных с дис­ка.
  4. Jadx — ути­лита для соз­дания исходно­го кода Java из фай­лов Android Dex и Apk.
  5. DIE — прог­рамма для опре­деле­ния типов фай­лов.
  6. FTK Imager — инс­тру­мент для ана­лиза и получе­ния обра­зов дис­ка.
 

Получение информации об объекте исследования

Файл обра­за дис­ка DetectLog4Shell.E01 записан в фор­мате Expert Witness Format (EWF) и содер­жит побито­вую копию дан­ных. Сде­лать циф­ровую копию дис­ка в этом фор­мате мож­но с помощью ути­литы EnCase. При­мон­тиру­ем иссле­дуемый диск в Windows и извле­чем из него арте­фак­ты, необ­ходимые для рас­сле­дова­ния инци­ден­та.

От­кро­ем ути­литу FTK Imager и при­мон­тиру­ем образ дис­ка. Для это­го перехо­дим на вклад­ку File → Image Mounting. В поле Image File выбира­ем образ Webserver.e01 и вво­дим нас­трой­ки, ука­зан­ные ниже.

Настройки для монтирования образа
Нас­трой­ки для мон­тирова­ния обра­за

На­жима­ем Mount. Иссле­дуемый образ дол­жен при­мон­тировать­ся, и мы уви­дим сле­дующую информа­цию.

Мы не можем получить дос­туп к сис­темным фай­лам, пос­коль­ку нам не хва­тает для это­го раз­решений. Вос­поль­зуем­ся ути­литой R-Studio и выг­рузим фай­лы реес­тра SYSTEM, SAM, SOFTWARE, рас­положен­ные в катало­ге %WINDOWS%/Windows/System32/config/.

Мы получим информа­цию из кус­та реес­тра SYSTEM. Заг­рузим ее в ути­литу Registry Explorer, наж­мем File → Load hive, затем выберем иссле­дуемый файл. Информа­ция о вре­мен­ной зоне хра­нит­ся в клю­че TimeZoneKeyName, рас­положен­ном в вет­ви ControlSet001\Control\TimeZoneInformation.

Информация о временной зоне
Ин­форма­ция о вре­мен­ной зоне

Вре­мен­ные мет­ки во вре­мен­ной зоне — Pacific Standart Time (UTC-8). Имя компь­юте­ра хра­нит­ся в клю­че Windows\System32\config\SYSTEM: ControlSet001\Control\ComputerName\ComputerName.

Имя компьютера
Имя компь­юте­ра

Ин­форма­ция об IP-адре­се машины рас­положе­на в клю­че ControlSet001\Services\Tcpip\Parameters\Interfaces\{ea202436-8a31-4cb6-9b59-5be0c2bc1692}, где {ea202436-8a31-4cb6-9b59-5be0c2bc1692} — иден­тифика­тор адап­тера. Докумен­тация об этом клю­че реес­тра есть на сай­те Microsoft.

Информация о сетевом адаптере скомпрометированной машины
Ин­форма­ция о сетевом адап­тере ском­про­мети­рован­ной машины

Флаг EnabledDHCP озна­чает, что сетевой адрес выда­ется сер­вером DHCP 192.168.112.254. IP-адрес хос­та — 192.168.112.139.

В клю­че ControlSet001\Services\Tcpip\Parameters хра­нит­ся информа­ция о домен­ном име­ни компь­юте­ра.

Информация о доменном имени
Ин­форма­ция о домен­ном име­ни

До­мен­ное имя компь­юте­ра — cyberdefenders.org. Про­ана­лизи­руем вет­ку реес­тра SOFTWARE, что­бы получить информа­цию об опе­раци­онной сис­теме. Заг­рузим эту вет­ку реес­тра в ути­литу Reg Explorer. В клю­че Microsoft\Windows NT\CurrentVersion содер­жится вер­сия опе­раци­онной сис­темы и текущий номер сбор­ки.

Информация об операционной системе
Ин­форма­ция об опе­раци­онной сис­теме

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии