Лаборторная работа №2

# Лаборторная работа №2 ## Цель лабораторной работы: Получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе. ## Задание: Обнаружить фишинговое письмо. Обнаружить вредоносный код и проанализировать его действие. Выявить, какие данные были скомпрометированы. ## Выполнение: После загрузки виртуальной машины открываем Outlook. Открыв приложение, можно войти в учетную запись без ввода пароля, просто закрыв окно подтверждения пароля. Во входящих есть одно письмо: ![](https://i.imgur.com/ehQHGWz.png) Злоумышленник рассчитывал, что получатель запустит файл. Откроем файл с помощью блокнота. ![](https://i.imgur.com/7vltKY3.png) Злоумышленник создает новго пользователя и копирует из директории данные пользователя Google Chrome в файл по директории, указанной на 3 строке. Перейдем по этому пути - обнаружим файл. ![](https://i.imgur.com/NERcjRT.png) Посмотрим какую БД использует хром. ![](https://i.imgur.com/qw3KeaH.png) Откроем файл через DB Browser for SQLite, ![](https://i.imgur.com/qkUFLyI.png) Зайдем в таблицу logins и откроем данные. Были скомпроментированы логин и пароль с двух онлайн сервисов.