Хакер -Уроки форензики. Расследуем киберинцидент HawkEye

https://t.me/hacker_frei

rayhunt454

Содержание статьи

• Инструментарий
• Анализ сетевого трафика
• Выводы

Се­год­ня мы с тобой поп­ракти­куем­ся в рас­сле­дова­нии инци­ден­тов и решим лабора­тор­ную работу HawkEye с ресур­са CyberDefenders. Научим­ся раз­бирать сетевой тра­фик, извле­кать арте­фак­ты и вос­ста­новим кар­тину взло­ма информа­цион­ного ресур­са.

Сог­ласно сце­нарию бух­галтер орга­низа­ции получил элек­трон­ное пись­мо, содер­жащее ссыл­ку для ска­чива­ния сче­та. Вско­ре пос­ле откры­тия пись­ма был обна­ружен подоз­ритель­ный сетевой тра­фик. Наша задача в качес­тве ана­лити­ка SOC изу­чить этот тра­фик, выявить вре­донос­ный файл и обна­ружить попыт­ки эксфиль­тра­ции дан­ных.

По резуль­татам решения кей­са необ­ходимо отве­тить на ряд воп­росов, но я покажу сам про­цесс решения, а не отве­ты на них. Ты можешь сам пов­торить работу и прой­ти опрос для зак­репле­ния зна­ний.

Пер­вым делом ска­чаем файл ар­хива с сетевым тра­фиком и прис­тупим к его иссле­дова­нию.

ИНСТРУМЕНТАРИЙ

1. Wireshark — ана­лиза­тор сетевых про­токо­лов.
2. NetworkMiner — инс­тру­мент сетево­го кри­мина­лис­тичес­кого ана­лиза. Упро­щает ана­лиз тра­фика, обна­ружи­вает опе­раци­онные сис­темы хос­тов, их сетевые име­на и так далее.
3. Exe2Aut — деком­пилятор ском­пилиро­ван­ных скрип­тов AutoIt3.
4. ResourceHacker — редак­тор ресур­сов исполня­емых фай­лов.
5. DIE — прог­рамма для опре­деле­ния типов фай­лов.

АНАЛИЗ СЕТЕВОГО ТРАФИКА

Пос­ле рас­паков­ки архи­ва с задани­ем мы получим файл сетево­го тра­фика с рас­ширени­ем .pcap. Откро­ем его в Wireshark и уви­дим ста­тис­тичес­кую информа­цию о фай­ле зах­вата. Для это­го перехо­ди на вклад­ку «Ста­тис­тика → Свой­ства фай­ла Зах­вата».

Вре­мя зах­вата пер­вого пакета — 2019-04-10 20:37:07 UTC, вре­мя зах­вата пос­ледне­го пакета — 2019-04-11 00:40:48, общее вре­мя записи сетево­го тра­фика — 01:03:41. Количес­тво пакетов в фай­ле зах­вата — 4003.

По­лучим ста­тис­тику о конеч­ных точ­ках, которые при­сутс­тву­ют в сетевом тра­фике. Заходим на вклад­ку «Ста­тис­тика → Конеч­ные точ­ки».

Ак­тивный компь­ютер име­ет MAC-адрес 00:08:02:1c:47:ae и IP-адрес 10.4.10.132. В фай­ле зах­вата учас­тву­ет три компь­юте­ра орга­низа­ции с мас­кой 24.

Оп­ределим про­изво­дите­ля сетевой кар­ты по MAC-адре­су, для это­го вос­поль­зуем­ся сер­висом networkcenter.info. Про­изво­дитель сетевой кар­ты — Hewlett Packard.

Да­лее заг­рузим файл в ути­литу NetworkMiner и получим информа­цию о хос­те бух­галте­ра. Вво­дим IP 10.4.10.132 и имя компь­юте­ра BEIJING-5CD1-PC.

Пос­коль­ку по сце­нарию бух­галтер перешел по ссыл­ке и заг­рузил исполня­емый файл, отфиль­тру­ем сетевой тра­фик по про­токо­лу DNS и най­дем все зап­росы доменов.

В пакете 204 обна­ружен зап­рос к DNS-сер­веру орга­низа­ции с IP-адре­сом 10.4.10.4. Получен адрес домен­ного име­ни proforma-invoices.com. Про­веря­ем этот домен на VirusTotal и обна­ружи­ваем, что пять анти­виру­сов счи­тают его вре­донос­ным. Получа­ется, что ком­про­мета­ция сети про­изош­ла в 20:37:53 10.04.2019.

В 206-м пакете DNS-сер­вер разыме­новал домен­ное имя и получил IP-адрес вре­донос­ного домена 217.182.138.150, Фран­ция.

Смот­рим даль­нейшие вза­имо­дей­ствия с доменом proforma-invoices.com. Начиная с 207-го пакета осу­щест­влен HTTP-зап­рос.

Жмем пра­вой кноп­кой мыши на 207-й пакет и перехо­дим во вклад­ку «Сле­довать → Поток TCP». Получа­ем соб­ранную сес­сию.

Поль­зователь перешел по ссыл­ке http://proforma-invoices.com/proforma/tkraw_Protected99.exe и заг­рузил исполня­емый файл tkraw_Protected99.exe. Извле­чем этот файл и про­ведем неболь­шое иссле­дова­ние. Для это­го наж­мем на вклад­ку «Файл → Экспор­тировать объ­екты → HTTP». Как вид­но из заголов­ка выше, в поле User-Agent ука­зана опе­раци­онная сис­тема ском­про­мети­рован­ной машины — Windows NT 6.1. На вре­донос­ном сер­вере запущен веб‑сер­вер LiteSpeed.

По­лучим пер­вичную информа­цию о фай­ле. Его MD5-сум­ма:

71826ba081e303866ce2a2534491a2f7

Заг­рузим его в ути­литу DIE.

Файл tkraw_Protected99.exe написан на C/C++ и содер­жит в себе скрипт AutoIt. Соб­ран для 32-бит­ных сис­тем.

Заг­рузим сум­му MD5 на VirusTotal и най­дем информа­цию о вре­донос­ном фай­ле.

Ан­тивирус­ное средс­тво Malwarebytes клас­сифици­рует вре­донос как Spyware.HawkEyeKeyLogger.

Вос­поль­зуем­ся ути­литой ResourceHacker и най­дем в ресур­сах скрипт AutoIt.

За­киды­ваем файл в ути­литу Exe2Auth и деком­пилиру­ем вре­донос­ный скрипт.

WWW

Про­цесс деком­пиляции 64-раз­рядный исполня­емо­го фай­ла со скрип­том AutoIt опи­сан в бло­ге Hexacorn.

Так узна­ем, что перед нами скрипт, ском­пилиро­ван­ный при помощи AutoIt 3, который исполь­зует­ся как заг­рузчик основно­го модуля. Код силь­но обфусци­рован.

Пос­ле пре­обра­зова­ния строк кода вид­но, что про­исхо­дит изме­нение шелл‑кода. Новый код пос­тупа­ет в фун­кцию RunPE, которая внед­ряет его в исполня­емый файл RegAsm.exe. Основная задача вре­доно­са — это сбор дан­ных о сис­теме и кра­жа аутен­тифика­цион­ной информа­ции из бра­узе­ров.

Про­дол­жаем ана­лизи­ровать сетевой тра­фик. Начиная с пакета 3159 уста­нав­лива­ется HTTP-соеди­нение с сер­вером bot.whatismyipaddress.com IP-адрес — 66.171.248.178.

Та­ким обра­зом вре­донос узна­ет внеш­ний IP-адрес ата­куемой орга­низа­ции.

Пуб­личный адрес ском­про­мети­рован­ной сети орга­низа­ции — 173.66.146.112, рас­положен в США.

Пос­ле сбо­ра информа­ции о сис­теме начина­ется про­цесс эксфиль­тра­ции дан­ных на C&C. Для это­го зло­умыш­ленни­ки отправ­ляли дан­ные на поч­товый сер­вер.

В сетевом тра­фике этот про­цесс начина­ется с пакета 3171. Пос­ле разыме­нова­ния домен­ного име­ни управля­юще­го сер­вера macwinlogistics.in (IP-адрес 23.229.162.69) уста­нав­лива­ется сес­сия SMTP.

Что­бы пос­мотреть сес­сию, наж­мем «Сле­довать → Поток TCP».

Вре­донос про­шел про­цесс аутен­тифика­ции на поч­товом сер­вере Exim 4.91, логин sales.del@macwinlogistics.in, пароль Sales@23. Про­бива­ем домен при помощи Whois.

Да­та регис­тра­ции домена — 2014-02-08.

Выг­рузим сооб­щения и раз­берем, какую информа­цию получил зло­умыш­ленник. Перехо­дим на вклад­ку «Файл → Экспор­тировать объ­екты → IMF» и сох­раня­ем все обна­ружен­ные сооб­щения .eml. Пре­обра­зуем все стро­ки заголов­ка и содер­жимого сооб­щения из Base64.

Как вид­но из заголов­ка, в поле Subject содер­жится информа­ция о модуле Reborn v9, который извлек дан­ные и имя поль­зовате­ля ском­про­мети­рован­ного компь­юте­ра, а так­же пуб­личный адрес орга­низа­ции.

В теле сооб­щения содер­жатся извле­чен­ные из бра­узе­ров дан­ные.

Зло­умыш­ленни­ку уда­лось украсть аутен­тифика­цион­ные дан­ные roman.mcguire:P@ssw0rd$ от акка­унта Bank of America.

Вре­доно­су уда­лось отпра­вить нес­коль­ко таких сооб­щений. Отфиль­тру­ем сетевой тра­фик по про­токо­лу SMTP и най­дем коман­ду EHLO. Стро­ка филь­тра: smtp.req.command == "EHLO".

Ви­дим, что вре­донос отпра­вил шесть сооб­щений с интерва­лом в 10 минут.

ВЫВОДЫ

Мы про­ана­лизи­рова­ли тра­фик и вос­ста­нови­ли ход инци­ден­та. Вот, что мы узна­ли:

• В 20:37:53 10.04.2019 бух­галтер перешел по ссыл­ке на вре­донос­ный исполня­емый файл.
• За­тем запус­тил исполня­емый файл tkraw_Protected99.exe.
• Ос­новная фун­кция вре­доно­са — кра­жа кон­фиден­циаль­ной информа­ции.
• Соб­ранные дан­ные переда­вались зло­умыш­ленни­ку по элек­трон­ной поч­те на сер­вер macwinlogistics.in.
• Для под­клю­чения к поч­товому сер­веру исполь­зованы логин sales.del@macwinlogistics.in и пароль Sales@23.
• В сооб­щении переда­вались логин и пароль для дос­тупа к Bank of America и учет­ные дан­ные поч­тового сер­вера орга­низа­ции.

На этом рас­сле­дова­ние мож­но счи­тать завер­шенным.

Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei