Се­год­ня мы шаг за шагом прой­дем про­цесс ана­лиза инци­ден­та: по соб­ранным арте­фак­там узна­ем под­робнос­ти о подоз­ритель­ной активнос­ти, а затем изу­чим код вре­доно­са по изме­нени­ям на GitHub. Осо­бое вни­мание уде­лим прак­тичес­кому при­мене­нию методо­логии MITRE ATT&CK и исполь­зованию OSINT-методов для деталь­ного иссле­дова­ния инци­ден­та.

Мы будем про­ходить лабора­тор­ную работу Psittaciformes из раз­дела Sherlocks на пло­щад­ке Hack The Box.

Вот как зву­чит пред­ложен­ный авто­ром лабы сце­нарий:

Служ­ба внут­ренней безопас­ности ком­пании Forela про­вела тес­тирова­ние на про­ник­новение в ее сеть. В резуль­тате тес­тирова­ния было обна­руже­но, что один из узлов, воз­можно, был взло­ман.

Цель рас­сле­дова­ния — про­верить, как про­изош­ла ком­про­мета­ция, исполь­зуя пре­дос­тавлен­ные дан­ные.

 

Поиск аномальной активности

Рас­паку­ем и про­шер­стим фай­лы из задания. Нет ли сре­ди них папок с подоз­ритель­ными наз­вани­ями? Осо­бое вни­мание уде­ляем катало­гам поль­зовате­ля.

В кор­невой пап­ке есть каталог User_Files, который содер­жит архив с инте­рес­ным наз­вани­ем hidden-user-home-dir.tar.gz. В нем — катало­ги home/ и root/.

В домаш­ней дирек­тории находим пап­ку поль­зовате­ля johnspire, который пред­положи­тель­но был ском­про­мети­рован. Прос­мотрим исто­рию команд, что­бы убе­дить­ся в этом.

Ви­дим, что под учет­кой выпол­нялась подоз­ритель­ная активность, в том чис­ле ска­ниро­вание сети, прос­мотр /etc/passwd, запуск MSF. При­меча­телен запуск Git и исполь­зование скрип­та enum.sh. Пос­мотрим на GitHub зас­ветив­ший­ся репози­торий autoenum.

В README написа­но NA (not available), что под­разуме­вает отсутс­твие каких‑либо све­дений. Раз­берем под­робнее запус­кавший­ся на хос­те enum.sh.

 

Анализ enum.sh

Вни­мание прив­лека­ет фун­кция do_wget_and_run(), которая и явля­ется вре­донос­ной. В ней содер­жится ссыл­ка на Dropbox, сос­тавля­емая из двух перемен­ных:

f1="https://www.dropbox.com/scl/fi/uw8oxug0jydibnorjvyl2"
f2="/blob.zip?rlkey=zmbys0idnbab9qnl45xhqn257&st=v22geon6&dl=1"

C сай­та ска­чива­ется ZIP-архив с дос­таточ­но три­виаль­ным паролем, тоже сос­тоящим из двух по отдель­нос­ти кодиро­ван­ных Base64 час­тей.

Не было ли у это­го скрип­та более ран­них вер­сий? Что­бы это узнать, перехо­дим в раз­дел Activity на стра­нице репози­тория.

Здесь отоб­ражены все изме­нения, вне­сен­ные в про­ект (плю­сом отме­чены новые строч­ки кода, минусом — уда­лен­ные): какой поль­зователь вно­сил эти изме­нения и ког­да. Нап­ример, в ком­мите с SHA 7d20...5f видим уда­лен­ные ком­мента­рии к час­тям вре­донос­ной фун­кции.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии