Содержание статьи
- Собираем информацию о системе
- winver
- networklist
- compname
- ips
- Анализируем файл PCAP
- FTP
- SMB
- RDP
- Анализируем журналы событий Windows
- PsExec
- Meterpreter
- Загружаем PowerView
- RDP
- Артефакты выполнения процессов
- SRUM
- Prefetch
- Shimcache и Amcache
- Артефакты файловой и операционной системы
- $MFT
- Windows Search Database
- Артефакты используемых приложений и утилит
- FileZilla
- Certutil
- История PowerShell
- KeePass CVE-2023-32784
- Выводы
Нам предстоит пройти задание Hunter c ресурса Hack The Box Sherlocks. Его уровень сложности — «безумный». Мы не будем давать готовых ответов на вопросы в задании. Вместо этого сосредоточимся на процессе расследования, чтобы ты мог при желании повторить его сам и подсмотреть в эту статью, если вдруг зайдешь в тупик.
В описании к инциденту сказано:
Аналитик SOC получил предупреждение о возможных атаках lateral movement и credential stuffing. После анализа алерт был подтвержден. У сетевого сенсора были проблемы с производительностью, поэтому захвачен не весь трафик.
Для анализа даны:
- дамп трафика;
- архив с артефактами хоста, собранный утилитой KAPE.
В процессе анализа заполним карточку инцидента и составим Incident Response Plan (IRP) в IRIS.
Собираем информацию о системе
Для получения информации об имени анализируемого хоста воспользуемся утилитой Hayabusa:
./hayabusa computer-metrics --rules-config ../config/ -d ~/C/
Утилита проанализирует события журналов Windows и предложит несколько вариантов, с частотой их упоминания:
-
Forela-Wkstn002.
— 97 385 упоминаний;forela. local -
DESKTOP-H72HB4B
— 6861 упоминание; -
Forela-Wkstn002
— 6087 упоминаний; -
FORELA-WKSTN002
— 4 упоминания.
Можем предположить, что имя DESKTOP-H72HB4B
было до ввода машины в домен.
Больше информации мы получим из реестра, для этого воспользуемся утилитой RegRipper3.0 и плагинами.
winver
Ветка реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Команда:
regripper -p winver -r CONFIG
Вывод:
ProductName Windows 10 Pro N
ReleaseID 2009
BuildLab 19041.vb_release.191206-1406
BuildLabEx 19041.1.amd64fre.vb_release.191206-1406
CompositionEditionID EnterpriseN
RegisteredOrganization
RegisteredOwner CyberJungle
InstallDate 2023-03-07 13:14:17Z
InstallTime 2023-03-07 13:14:17Z
networklist
Ветка реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ProfileName\
Команда:
regripper -p networklist -r CONFIG
Вывод:
Network 2
Key LastWrite : 2023-06-21 11:17:27Z
DateLastConnected: 2023-06-21 16:17:27
DateCreated : 2023-04-12 21:20:50
DefaultGatewayMac: 00-50-56-EE-C1-2F
Type : wired
forela.local
Key LastWrite : 2023-06-21 11:47:27Z
DateLastConnected: 2023-06-21 16:47:27
DateCreated : 2023-03-08 03:25:47
DefaultGatewayMac: 00-50-56-EB-C1-1A
Type : wired
Network
Key LastWrite : 2023-04-12 09:16:14Z
DateLastConnected: 2023-04-12 14:16:14
DateCreated : 2023-03-07 17:51:47
DefaultGatewayMac: 00-50-56-EB-C1-1A
Type : wired
Domain/IP forela.local
compname
Ветка реестра:
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\
Команда:
regripper -p compname -r SYSTEM
Вывод:
ComputerName = forela-wkstn002
TCP/IP Hostname = Forela-Wkstn002
ips
Ветка реестра:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
Команда:
IPAddress 172.17.79.131
Результаты:
- домен —
forela.
;local - хост —
forela-wkstn002
; - IP —
172.
.17. 79. 131
Добавляем все найденное в IRIS.
Анализируем файл PCAP
Анализ артефактов хоста, безусловно, дает огромное количество информации о произошедших событиях, но я начал с просмотра трафика, чтобы понять, какие взаимодействия были с анализируемой машиной.
Для анализа PCAP-файла я использовал ZUI и Wireshark.
info
Подробнее о ZUI читай в статье «ZUI. Анализируем трафик с помощью нового быстрого инструмента».
Начнем с алертов сигнатур опенсорсной IDS Suricata.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»