Ког­да зло­умыш­ленни­ки ата­куют сеть пред­при­ятия, у спе­циалис­тов по информа­цион­ной безопас­ности зачас­тую оста­ется не так уж и мно­го матери­ала для иссле­дова­ний — нап­ример, толь­ко образ памяти ском­про­мети­рован­ного сер­вера. Подоб­ную ситу­ацию опи­сыва­ет задание BSidesJeddah-Part2 с ресур­са CyberDefenders, которое мы сегод­ня раз­берем.

На­ша задача — выявить при­чины взло­ма сер­виса, раз­верну­того на Oracle WebLogic Server, и научить­ся извле­кать основные арте­фак­ты из обра­за опе­ратив­ной памяти Windows.

По сце­нарию устрой­ство монито­рин­га сетевой безопас­ности зафик­сирова­ло подоз­ритель­ный тра­фик, исхо­дящий от одно­го из веб‑сер­веров орга­низа­ции. Мы дол­жны про­ана­лизи­ровать образ памяти сер­вера и вос­ста­новить кар­тину взло­ма информа­цион­ного ресур­са.

 

Используемые утилиты

  1. Volatility Framework 2.6.1 — инс­тру­мент, реали­зован­ный на Python вер­сии 2 и пред­назна­чен­ный для извле­чения арте­фак­тов из обра­зов энер­гозави­симой памяти.
  2. Volatility 3 — обновлен­ный инс­тру­мент для извле­чения арте­фак­тов, раз­работан­ный на Python 3.

Заг­рузим файл ар­хива с арте­фак­тами, извле­чем из него файл memory.mem (SHA256:5b3b1e1c92ddb1c128eca0fa8c917c16c275ad4c95b19915a288a745f9960f39) и прис­тупим к иссле­дова­нию.

 

Исследование образа памяти

При работе с этим обра­зом мы будем поль­зовать­ся фрей­мвор­ком Volatility вер­сий 2 и 3. Их основное раз­личие опи­сано в до­кумен­тации. Удобс­тво работы с треть­ей вер­сией зак­люча­ется в том, что она не исполь­зует про­фили опе­раци­онной сис­темы, а уме­ет опре­делять их на лету, с помощью таб­лиц сим­волов Windows. Но боль­шинс­тво пла­гинов раз­работа­но для вто­рой вер­сии.

По­лучим про­филь опе­раци­онной сис­темы для работы с ути­литой Volatility 2.

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem imageinfo

Про­филь опе­раци­онной сис­темы — Win2016x64_14393.

Преж­де чем мы прис­тупим к ана­лизу арте­фак­тов, необ­ходимо понять, с какой сис­темой мы работа­ем. Для это­го получим вер­сию опе­раци­онной сис­темы, имя компь­юте­ра, а так­же сетевой адрес. Про­бежим­ся по клю­чам реес­тра с исполь­зовани­ем пла­гина printkey.

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "ControlSet001\Control\ComputerName\ComputerName"
Имя компьютера
Имя компь­юте­ра

Имя компь­юте­ра — WIN-8QOTRH7EMHC.

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -o 0xffff808fe7e41000 -K "ControlSet001\Services\Tcpip\Parameters\Interfaces"
Список интерфейсов
Спи­сок интерфей­сов

Мы получи­ли спи­сок иден­тифика­торов сетевых интерфей­сов. Про­верим каж­дый из них.

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -o 0xffff808fe7e41000 -K "ControlSet001\Services\Tcpip\Parameters\Interfaces\{792f6020-c342-4520-922a-542fbfccc4b6}"
Сетевой адрес системы
Се­тевой адрес сис­темы

Се­тевой адрес компь­юте­ра — 192.168.144.131, IP-адрес выда­ется DHCP-сер­вером 192.168.144.254.

Те­перь получим информа­цию о вер­сии опе­раци­онной сис­темы.

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "Microsoft\Windows NT\CurrentVersion"
Версия операционной системы
Вер­сия опе­раци­онной сис­темы

Вер­сия опе­раци­онной сис­темы — Windows Server 2016 Standard Evaluation.

По­лучим вре­мя, которое было зафик­сирова­но в момент сня­тия обра­за опе­ратив­ной памяти. Для это­го вос­поль­зуем­ся пла­гином windows.info ути­литы Volatility 3.

python3 vol.py -f c63-bsidesjeddah-mem/memory.mem windows.info

Сис­темное вре­мя — 2021-08-06 16:13:23.

Да­лее попыта­емся вос­ста­новить дей­ствия поль­зовате­ля в сис­теме. Про­ана­лизи­руем исто­рию бра­узе­ра, в дан­ном слу­чае Internet Explorer. Для это­го вос­поль­зуем­ся пла­гином iehistory.

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 iehistory > c63-bsidesjeddah-mem/iehistory.txt
История iehistory
Ис­тория iehistory

Нам уда­лось выяс­нить, что 6 августа 2021 года поль­зователь Administrator посетил стра­ницу news.google.com.

Те­перь прис­тупим к поис­ку вре­донос­ной активнос­ти. Для это­го нам необ­ходимо про­ана­лизи­ровать про­цес­сы, сетевой тра­фик, коман­ды запус­ка исполня­емых фай­лов, а так­же иссле­довать стро­ки про­цес­сов.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии