Се­год­ня в рам­ках рас­сле­дова­ния инци­ден­та мы с тобой про­экс­плу­ати­руем уяз­вимость в KeePass, най­ден­ную в 2023 году, а затем пос­мотрим, как исполь­зовать инс­тру­мент ZUI для ана­лиза арте­фак­тов.

Нам пред­сто­ит прой­ти задание Hunter c ресур­са Hack The Box Sherlocks. Его уро­вень слож­ности — «безум­ный». Мы не будем давать готовых отве­тов на воп­росы в задании. Вмес­то это­го сос­редото­чим­ся на про­цес­се рас­сле­дова­ния, что­бы ты мог при желании пов­торить его сам и под­смот­реть в эту статью, если вдруг зай­дешь в тупик.

В опи­сании к инци­ден­ту ска­зано:

Ана­литик SOC получил пре­дуп­режде­ние о воз­можных ата­ках lateral movement и credential stuffing. Пос­ле ана­лиза алерт был под­твержден. У сетево­го сен­сора были проб­лемы с про­изво­дитель­ностью, поэто­му зах­вачен не весь тра­фик.

Для ана­лиза даны:

  • дамп тра­фика;
  • ар­хив с арте­фак­тами хос­та, соб­ранный ути­литой KAPE.

В про­цес­се ана­лиза запол­ним кар­точку инци­ден­та и сос­тавим Incident Response Plan (IRP) в IRIS.

 

Собираем информацию о системе

Для получе­ния информа­ции об име­ни ана­лизи­руемо­го хос­та вос­поль­зуем­ся ути­литой Hayabusa:

./hayabusa computer-metrics --rules-config ../config/ -d ~/C/

Ути­лита про­ана­лизи­рует события жур­налов Windows и пред­ложит нес­коль­ко вари­антов, с час­тотой их упо­мина­ния:

  • Forela-Wkstn002.forela.local — 97 385 упо­мина­ний;
  • DESKTOP-H72HB4B — 6861 упо­мина­ние;
  • Forela-Wkstn002 — 6087 упо­мина­ний;
  • FORELA-WKSTN002 — 4 упо­мина­ния.

Мо­жем пред­положить, что имя DESKTOP-H72HB4B было до вво­да машины в домен.

Боль­ше информа­ции мы получим из реес­тра, для это­го вос­поль­зуем­ся ути­литой RegRipper3.0 и пла­гина­ми.

 

winver

Вет­ка реес­тра:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Ко­ман­да:

regripper -p winver -r CONFIG

Вы­вод:

ProductName Windows 10 Pro N
ReleaseID 2009
BuildLab 19041.vb_release.191206-1406
BuildLabEx 19041.1.amd64fre.vb_release.191206-1406
CompositionEditionID EnterpriseN
RegisteredOrganization
RegisteredOwner CyberJungle
InstallDate 2023-03-07 13:14:17Z
InstallTime 2023-03-07 13:14:17Z
 

networklist

Вет­ка реес­тра:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ProfileName\

Ко­ман­да:

regripper -p networklist -r CONFIG

Вы­вод:

Network 2
Key LastWrite : 2023-06-21 11:17:27Z
DateLastConnected: 2023-06-21 16:17:27
DateCreated : 2023-04-12 21:20:50
DefaultGatewayMac: 00-50-56-EE-C1-2F
Type : wired
forela.local
Key LastWrite : 2023-06-21 11:47:27Z
DateLastConnected: 2023-06-21 16:47:27
DateCreated : 2023-03-08 03:25:47
DefaultGatewayMac: 00-50-56-EB-C1-1A
Type : wired
Network
Key LastWrite : 2023-04-12 09:16:14Z
DateLastConnected: 2023-04-12 14:16:14
DateCreated : 2023-03-07 17:51:47
DefaultGatewayMac: 00-50-56-EB-C1-1A
Type : wired
Domain/IP forela.local
 

compname

Вет­ка реес­тра:

HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\

Ко­ман­да:

regripper -p compname -r SYSTEM

Вы­вод:

ComputerName = forela-wkstn002
TCP/IP Hostname = Forela-Wkstn002
 

ips

Вет­ка реес­тра:

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

Ко­ман­да:

IPAddress 172.17.79.131

Ре­зуль­таты:

  • до­мен — forela.local;
  • хост — forela-wkstn002;
  • IP — 172.17.79.131.

До­бав­ляем все най­ден­ное в IRIS.

 

Анализируем файл PCAP

Ана­лиз арте­фак­тов хос­та, безус­ловно, дает огромное количес­тво информа­ции о про­изо­шед­ших событи­ях, но я начал с прос­мотра тра­фика, что­бы понять, какие вза­имо­дей­ствия были с ана­лизи­руемой машиной.

Для ана­лиза PCAP-фай­ла я исполь­зовал ZUI и Wireshark.

Нач­нем с алер­тов сиг­натур опен­сор­сной IDS Suricata.

Алерты Suricata
Алер­ты Suricata

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии