Мониторинг ИБ. Работа специалиста SOC

# Мониторинг ИБ. Работа специалиста SOC ###### tags: `Security Operations Center` ## Task 1 ### 1. Опишите, что происходит (чего добиваются атакующие). Атакующие хотят выполнить вредоносный скрипт на удалённой машине. Уязвимость имеет имя CVE-2020-5902, которая позволяет выпонять код удалённо на нераскрытых страницах. При поиске информации в Интернете можно найти репорт, который говорит, что данный скрипт - малварь: ![](https://i.imgur.com/QyWtprI.png) ### 2. Выделите признаки, по которым понятно, что происходит атака. Скачивание скрипта с сервера. Выдача максимальных прав на этот скрипт - все могут читать, записывать и выполнять этот файл. Выполнение скрипта командой sh ohsitsvegawellrip.sh. Загрузка ресурса iplogger, который собирает статистику трафика веб-сайта, отслеживает IP-адреса и местоположение IP-адресов. ### 3. Выделите IoС'и, которые могут быть использованы для выявления подобной активности в будущем. Подключение: GET /tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp Сеть: 136.144.41.0/24 ### 4. Укажите, каким образом можно удостовериться в том, удалось ли атакующим достигнуть того, чего они добивались этим запросом. Они добивались выполнения малваря, на это указывает команда sh ohsitsvegawellrip.sh. ## Task 2 ### 1. Что подозрительного в событии? Выполнение команды, код которой обфускацирован. ### 2. С какой целью реализовано? Скрыть выполнение вредоновной программы. ## Task 3 ### 1. Что в этих событиях является подозрительным? Событие 19:06:06 является подозрительным, так как был открыт вордовский файл из папки с загрузками, значит, скорее всего, он был откуда-то скачан: ![](https://i.imgur.com/ITVuyUA.png) Одно из событий 19:06:10 является подозрительным, так как был создан файл png в временной папке: ![](https://i.imgur.com/pwTJIz1.png) После этих событий было загружено вредоносное ПО. События 19:06:26 являются подозрительными, потому что выполняется сценарий в powershell без вывода окошка выполнения команды с закодированной командой в виде base64: ![](https://i.imgur.com/XstfVHY.png) Затем порождается новый процесс с помощью опции -ForceV1: ![](https://i.imgur.com/LLYsyo5.png) ForceV1 запрашивает информацию прямо из пространства ядра, conhost подключается к консольному приложению, выполняя ту же команду, что и до этого: ![](https://i.imgur.com/k7GFLxI.png) Далее происходит считывание данных с диска 2 и диска 1 вредоносной программой: ![](https://i.imgur.com/K4yqAbL.png) ![](https://i.imgur.com/B6M1rYM.png) Если декодировать команду, что была закодирована в powershell опцией encodedCommand, то получим следующую команду, которая указанную строку как команду и возвращает результаты выражения или команды: ![](https://i.imgur.com/mnuwEtJ.png) После чего запускаются 2 сценария powershell: C:\Users\user\AppData\Local\Temp\_PSScriptPolicyTestuadnldzb.3ew.ps1 и C:\Users\user\AppData\Local\Temp\_PSScriptPolicyTest_0n3jzel4.32z.psm1 ### 2. Какие признаки указанных событий на это указывают? Открытие скачанного вордовского документа из папки с загрузками и добавление картинки png в временную папку. Команда в powershell, которую запускает вирус, выполняется с ключом hidden, что скрывает окно PoSH, а также запускается закодированная команда. Помимо этого считываются диски, что также является признаком вредоносной программы. ### 3. Какие IoC'и можно выделить из этих событий? DNS-запрос на сайт omni-consumer-pr0ducts.tk. События с id 15, в которых происходит "метка сети" или же Zone.Identifier. ### 4. Опишите подробно суть подозрительных действий в системе, зафиксированных в этом журнале. С открытием вордовского документа запускается вредоносное ПО семейства raccoon, которая запускает команду powershell с ключом -ForceV1 от имени процесса conhost.exe. Затем вредоносное ПО raccoon считывает информацию с 2 дисков и запускает выполнение двух сценариев powershell. ## Task 4 ### 1. Что произошло на узле? Попытка выполнить потенциально опасную команду на узле larteshina.plat.form (запуск процесса в скрытом окне). ### 2. С помощью чего это удалось добиться? Запуск powershell скрипта C:\\Program Files\\administrator_check\\take_process_data.ps1. ### 3. Если есть, то укажите адрес C&C и порт. Адреса C&C и порта я не обнаружил. ## Task 5 ### 1. К какому семейству принадлежит данное ВПО? Вирус Trojan-LDMiner. Передаются параметры ipc_20201126, имя ПК, на котором отработала команда, имя пользователя, случайный UUID. ### 2. Перечислите имена всех файлов, которые могли быть загружены на компьютер с помощью данного скрипта. Имена файлов будут разными, потому что троян определяет также и систему, на которой он запустился. ## Task 6 Идет подключение к другому компу RDS.testlab.esc (172.16.222.14):63620 -> 172.16.222.11:4321. На ПК RDS.testlab.esc скачивается файл C:\\Users\\vpupkin\\Downloads\\super-cool-game.zip, создается файл C:\\Users\\vpupkin\\Desktop\\l1.bat, запускается "C:\\Windows\\system32\\cmd.exe /c "C:\\Users\\vpupkin\\Desktop\\l1.bat", затем запускается выполнение команды C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\" -noP -sta -w 1 -enc. Подобную активность можно выявить по большому количеству событий Powershell с id 4103, так как злоумышленники могут использовать несколько запутанных команд, которые будут под id 4103. Также подозрительны события Sysmon с id 3, так как к компьютеру подключались через udp и tcp разные пользователи. События с id 4688, которые являются выполнением команд powershell, также должны быть не оставлены без внимания. Необходимыми данными для осуществления мер по реагированию будет наличие большого количества событий powershell с id 4103, 4188, запуск файлов bat, а также события sysmon с id 3.