Годунова Анна БСБО-05-19 # Лабораторная работа номер 2 **Цель лабораторной работы**: получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе. **Задание**: 1. Обнаружить фишинговое письмо. 2. Обнаружить вредоносный код и проанализировать его действие. 3. Выявить, какие данные были скомпрометированы. **Выполнение работы:** 1. У нас есть образ диска Windows 10, пользователь которого подвергся фишинговой атаке через электронную почту и потерял аккаунты, сохранённые в браузере. Формат данного образа .vmdk ![](https://i.imgur.com/dkNhZs8.png) 2. Нам необходимо проанализировать его. Для этого воспользуемся программой autopsy. Программа бесплатная, её можно скачать [-> тут <-](https://www.autopsy.com/). Про работу данной программы можно подробнее почитать, например [-> тут <-](https://habr.com/ru/company/alexhost/blog/533260/). 3. Если мы закинем в программу файл .vmdk, получим следующее: ![](https://i.imgur.com/MUqj4Fx.png) Autopsy не может определить файловую систему. Для решения этой проблемы можно конвертировать .vmdk, например в .raw. 4. Для преобразования воспользуемся командой: `qemu-img convert vmdk Lab_2-v.2.vmdk -m 16 -p -O raw Laba2.raw` В Windows этот инструмент можно загрузить с этого сайта: http://www.teimouri.net/qemu-img-windows/ 5. Далее аналогично загрузим файл Laba2.raw в Autopsy для анализа Результат: ![](https://i.imgur.com/buWGeAR.png) 6. Нас больше интересует раздел 'Data Artifacts' и 'E-mail Messages', т.к. нам известно что пользователь подвергся фишинговой рассылке. ![](https://i.imgur.com/beiytje.png) 7. В данном разделе мы видим три письма, содержимое нижних двух ничем не примечательно, но самое верхнее письмо может заинтересовать своим содержанием: ![](https://i.imgur.com/bHbAliA.png) 8. В письме приложен файл, который явно скачал пользователь ![](https://i.imgur.com/KQm45DC.png) 9. Откроем этот файл и посмотрим на содержимое. ![](https://i.imgur.com/4p4ElhA.png) В нем происходит: * Создание пароля Qq123456. * Создание нового локального пользователя WildRusHacker с паролем, созданным в первой строке. * Создание новой папки. * Копирование в созданную папку файла с данными учетных записей, сохраненных в Chrome. 10. Просмотрим файл, в который происходит копирование данных. ![](https://i.imgur.com/VfE7k7H.png) В нём указаны логины и пароли для двух ресурсов Lamoda и Okko.