# Лабораторная № 2 Лабораторная работа №2 - расследование инцидента ИБ Так неправильно Так как было известно, что изначально атака проходила через фишинговое письмо, проверим почту, увидим следующее:  Откроем данный файл и посмотрим, что внутри:  Это powershell скрипт, который добавляет нового пользака с паролем Qq123456 и именем WildRusHacker. Далее он берёт и копирует себе файл с паролями от аккаунтов браузера Google в директорию “C:\Program Files\WildRusHackerFolder”, которую предварительно создаёт. А вот и сам файл:  Хорошо, попытаемся понять, что смог украсть злоумышленник и какие следы оставил. Для начала посмотрим его учётку:  Как видим, она активная, что не есть хорошо. Посмотрим не прокидывал ли он доступа до каких то сторонних серверов при помощью шары, тк он мог отправить все данные на какой-нибудь удалённый хост. Как видно, ни допольнительных групп, ни общего доступа к папке нет. Видимо, отсюда больше особо ничего не вытащить. Но на всякий случай проверим логи браузера.   Проблема в том, что мы вытащили пользователя, но сам пароль в БД хранится в виде битового файла. Ситуация рабочая, если вторая утилита не сработает, можно будет покопать бинарь. Через WebBrowserPassWiew:   Тут видно, что в файле содержатся вде учётки от сервисов Okko и Lamoda. Это всё, что нас интересовала Зачистка (если необходима): Удаляем пользователя WildRusHacker и папку WildRusHackerFolder Меняем пароль на учётках Okko и Lamoda Удаляем скрипт На этом расследование инцидента завершено! --------- # Так более Корректно Откроем образ диска через Daemon tools lite  Вытащим письмо:  при Открываем письмо и видим:  в папке Documents видим, что скрипт скорее всего был выполнен: Пароли из браузера:  Пароли в зашифрованном виде: