# Компьютерная экспертиза. Лабораторная работа №2. :::info Работа выполнена студентом 3 курса учебной группы БСБО-04-19 Чайка Егором ::: **Содержание** 1. Цель работы 2. Входные данные 3. Задание 4. Выполнение работы 5. Бонус 1 6. Бонус 2 # Цель работы Получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе. # Входные данные Образ диска Windows 10, пользователь которого подвергся фишинговой атаке через электронную почту и потерял аккаунты, сохранённые в браузере. # Задание 1. Обнаружить фишинговое письмо 2. Обнаружить вредоносный код и проанализировать его действие 3. Выявить, какие данные были скомпрометированы # Выполнение работы Сначала необходимо получить доступ к электронной почте пользователя, чтобы убедиться в наличии фишинговой атаки. Пользователь использовал Microsoft Outlook, сразу же заходим туда.  Как видим, в ящике ровно одно письмо, откроем его и изучим содержимое. Можно быть на 100% уверенным, что это то самое фишинговое письмо, так как оно выглядит сделанным по шаблону: "поддержка" присылает подозрительный файл и просит исполнить его, не вдаваясь в подробности работы данного файла.  Скачаем этот файл (можно не беспокоиться о безопасности, так как это .txt файл и его прочтение нам не навредит) и откроем его.  Изучив содержимое файла и вспомнив указание в письме запустить файл с расширением *ps1*, становится ясно, что это скрипт, написанный для выполнения в PowerShell. При выполнении этот скрипт создаёт нового локального пользователя *WildRusHacker* с паролем *Qq123456*, создаёт папку по указанному пути и перемещает туда *Login Data*, то есть файл в котором находятся сохранённые пароли Google Chrome. Откроем эту папку и убедимся, что этот файл действительно находится там.  Переместим этот файл в изначальное его расположение и запустим заранее скачанную программу *WebBrowserPassView*, с помощью которой можно увидеть все сохранённые логины и пароли во всех браузерах.   # Бонус В качестве бонуса сделаю дамп оперативной памяти и проанализирую его. Делать дамп буду с помощью *BelkaSoft RAM Capturer*.  Теперь установим *volatility*, подробная инструкция установки есть на гитхабе. Воспользуемся плагином *windows.pslist.PsList*, чтобы увидеть все сохранённые системные процессы. Можно увидеть наше обращение к проводнику, браузеру и некоторые системные процессы.    Теперь совершим несколько действий (например, откроем проводник через cmd, исполним файл из фишингового письма), снова сделаем дамп оперативной памяти и воспользуемся плагином *windows.cmdline.CmdLine*, для того, чтобы увидеть какие команды были использованы с помощью командной строки.  # Бонус 2 Теперь выполним данную работу по правильному. Скачаем Autopsy, для анализа нашего VMDK образа без его запуска в виртуальной машине (может быть вариант внедрения в образ вредоносного кода, который получит права выше виртуальной машины и, таким образом, заразит наш рабочий ПК). Настроим в Autopsy анализ, выбрав наш образ и все файлы для сканирования. Как видим, есть вкладка с электронными письмами, в которой лежит нужное нам письмо.  Откроем его и увидим во вложении интересующий нас файл. Таким образом, данную работу можно было выполнить без запуска образа, а обычным сканированием.