Уроки форензики. Расследуем киберинцидент HawkEye

Сог­ласно сце­нарию бух­галтер орга­низа­ции получил элек­трон­ное пись­мо, содер­жащее ссыл­ку для ска­чива­ния сче­та. Вско­ре пос­ле откры­тия пись­ма был обна­ружен подоз­ритель­ный сетевой тра­фик. Наша задача в качес­тве ана­лити­ка SOC изу­чить этот тра­фик, выявить вре­донос­ный файл и обна­ружить попыт­ки эксфиль­тра­ции дан­ных.

По резуль­татам решения кей­са необ­ходимо отве­тить на ряд воп­росов, но я покажу сам про­цесс решения, а не отве­ты на них. Ты можешь сам пов­торить работу и прой­ти опрос для зак­репле­ния зна­ний.

Пер­вым делом ска­чаем файл ар­хива с сетевым тра­фиком и прис­тупим к его иссле­дова­нию.

Инструментарий

1. Wireshark — ана­лиза­тор сетевых про­токо­лов.
2. NetworkMiner — инс­тру­мент сетево­го кри­мина­лис­тичес­кого ана­лиза. Упро­щает ана­лиз тра­фика, обна­ружи­вает опе­раци­онные сис­темы хос­тов, их сетевые име­на и так далее.
3. Exe2Aut — деком­пилятор ском­пилиро­ван­ных скрип­тов AutoIt3.
4. ResourceHacker — редак­тор ресур­сов исполня­емых фай­лов.
5. DIE — прог­рамма для опре­деле­ния типов фай­лов.

Анализ сетевого трафика

Пос­ле рас­паков­ки архи­ва с задани­ем мы получим файл сетево­го тра­фика с рас­ширени­ем .pcap. Откро­ем его в Wireshark и уви­дим ста­тис­тичес­кую информа­цию о фай­ле зах­вата. Для это­го перехо­ди на вклад­ку «Ста­тис­тика → Свой­ства фай­ла Зах­вата».

Вре­мя зах­вата пер­вого пакета — 2019-04-10 20:37:07 UTC, вре­мя зах­вата пос­ледне­го пакета — 2019-04-11 00:40:48, общее вре­мя записи сетево­го тра­фика — 01:03:41. Количес­тво пакетов в фай­ле зах­вата — 4003.

По­лучим ста­тис­тику о конеч­ных точ­ках, которые при­сутс­тву­ют в сетевом тра­фике. Заходим на вклад­ку «Ста­тис­тика → Конеч­ные точ­ки».

Ак­тивный компь­ютер име­ет MAC-адрес 00:08:02:1c:47:ae и IP-адрес 10.4.10.132. В фай­ле зах­вата учас­тву­ет три компь­юте­ра орга­низа­ции с мас­кой 24.

Оп­ределим про­изво­дите­ля сетевой кар­ты по MAC-адре­су, для это­го вос­поль­зуем­ся сер­висом networkcenter.info. Про­изво­дитель сетевой кар­ты — Hewlett Packard.

Да­лее заг­рузим файл в ути­литу NetworkMiner и получим информа­цию о хос­те бух­галте­ра. Вво­дим IP 10.4.10.132 и имя компь­юте­ра BEIJING-5CD1-PC.

Пос­коль­ку по сце­нарию бух­галтер перешел по ссыл­ке и заг­рузил исполня­емый файл, отфиль­тру­ем сетевой тра­фик по про­токо­лу DNS и най­дем все зап­росы доменов.

В пакете 204 обна­ружен зап­рос к DNS-сер­веру орга­низа­ции с IP-адре­сом 10.4.10.4. Получен адрес домен­ного име­ни proforma-invoices.com. Про­веря­ем этот домен на VirusTotal и обна­ружи­ваем, что пять анти­виру­сов счи­тают его вре­донос­ным. Получа­ется, что ком­про­мета­ция сети про­изош­ла в 20:37:53 10.04.2019.