---
title: INT-1-Криворученко_Савелий-Практика_1
tags: Module 2
description: Use `{%hackmd theme-dark %}` syntax to include this theme.
---
<style>
html, body, .ui-content {
background-color: #333;
color: #ddd;
}
.markdown-body h1,
.markdown-body h2,
.markdown-body h3,
.markdown-body h4,
.markdown-body h5,
.markdown-body h6 {
color: #ddd;
}
.markdown-body h1,
.markdown-body h2 {
border-bottom-color: #ffffff69;
}
.markdown-body h1 .octicon-link,
.markdown-body h2 .octicon-link,
.markdown-body h3 .octicon-link,
.markdown-body h4 .octicon-link,
.markdown-body h5 .octicon-link,
.markdown-body h6 .octicon-link {
color: #fff;
}
.markdown-body img {
background-color: transparent;
}
.ui-toc-dropdown .nav>.active:focus>a, .ui-toc-dropdown .nav>.active:hover>a, .ui-toc-dropdown .nav>.active>a {
color: white;
border-left: 2px solid white;
}
.expand-toggle:hover,
.expand-toggle:focus,
.back-to-top:hover,
.back-to-top:focus,
.go-to-bottom:hover,
.go-to-bottom:focus {
color: white;
}
.ui-toc-dropdown {
background-color: #333;
}
.ui-toc-label.btn {
background-color: #191919;
color: white;
}
.ui-toc-dropdown .nav>li>a:focus,
.ui-toc-dropdown .nav>li>a:hover {
color: white;
border-left: 1px solid white;
}
.markdown-body blockquote {
color: #bcbcbc;
}
.markdown-body table tr {
background-color: #5f5f5f;
}
.markdown-body table tr:nth-child(2n) {
background-color: #4f4f4f;
}
.markdown-body code,
.markdown-body tt {
color: #eee;
background-color: rgba(230, 230, 230, 0.36);
}
a,
.open-files-container li.selected a {
color: #5EB7E0;
}
</style>
# Module_2_INT-1-Криворученко_Савелий-Практика_1
|1 task|
|---|
|1 task|
|---|
|
|1.Что происходит и чего добивается атакующий|
|
|Ниже есть продолжения
|2.Признаки атаки|
|
|
|3. Как выявить подобную активность в будущем|
|
| Также стоит запретить переход по каталогам вверх за счет /..;/
|индикаторы запроса:
|ohsitsvegawellrip.sh
|Bigip
|/..;/
|136.144.41.3
|4. Убедимся, удалось ли атакующему достигнуть цели|
|
|
|
|200 - говорит о том, что запрос был выполнен
||
|Какие методы были использованы:|
|/..;/ - переход вверх по директория за счет неправильно интерпретации с дальнейших входом в командную строку.
|wget - 136.144.41.3 Bigipdmcdmsklcmk(уязвимость - BIGIP CVE-2020-5902. Эта уязвимость может быть использована путем отправки вредоносных HTTP-запросов на управление утилитами пользовательского интерфейса (TMUI)
|ohsitsvegawellrip.sh - зловредный скрипт для загрузки трояна
|
|chmod+777 - выдача полных прав|
|wget https://iploger.org - загрузка на сайт программы для анализа трафика и отслеживания ip
---
|2 task|
|---|
|Вопросы и ответы на них
||
|
|А также он обфусцирует запрос методом перестановки, что тоже странно для классического скрипта:
|Invoke-expression object + Net.web client + Downloadstring + http://tinyurl.com/y7ukpduz|
---
|3 Task|
|---|
|3.1 Что в этих событиях является подозрительным?|
|Подозрительный хеш, указывающий при проверке что там троян
|
|Вход неавторизованных пользователей
|
|
|Запуск powershell'ом подозрительного скрипта и вход с польз. СИСТЕМА|
|
|
|Чтение дисков и создание офисных файлов|
|
|
|Подкачка из интернета
|
|3.2 Какие признаки указаных событий на это указывают|
|Реакция службы windows defender
|
|Запуск Powershela от имени администратора(скрин выше.)
|А также создание Pipe, для подключения стороних клиентов
|
|
|3.3 Какие индикаторы можно выделить|
```
1. Создание pipe
2. Реакция windows defender
3. неавторизованый вход
4. Запуск скриптов
```
|3.4 Опишите подробно суть подозрительных действий в системе, зафиксированных в журнале|
|---|
|
|Троян|
|
|
|
|Также сам скрипт называется omni_consumer|
|
```
Возможно это скрипт как-то связан с nft протоколом omni
consumer, но не точно.
```
---
|4 task|
|---|
|
|Ответы на 1 и 2 вопрос
|
|Скрины действий
|1. раскодируем команду в base 64 и откроем в notepad++ для удобства|
|
|
|Как мы видим тут второй закодированый файл, но что не типично, в нем присутствуют "" а также + и {1}{0}, видо изменим и посмотрим что это за огурец
||
|Сохраним в нужном формате и распакуем|
|
|С&C и порт|
|
|Воспользуемся встроенным gunzip вместо gzip для формирования целостности|
|
|тут также есть обфусцированый текст, переведем в читаемый вид и воспользуемся открытыми источниками описания шела, для детального понимания процесса|
|
|В данной обфускации приведен ip и порт
|
|попробуем расшифровать|
|
|Энтропия 3.6 - по сути нормальный текст. Но перевод ничего не дал.
|
|Попробуем определить через wireshark(Я создал ps скрипта и запустил)|
|
|
```
Что мне удалось узнать:
Уязвимость построенна на dll атаке с применением reverse/tcp
Используется порт tcp: предполагаю 443, 80
Предполагаю, что для более анализа необходима работа в ida pro
```
---
|5|
|---|
|
|5.1|
|
|5.2|
|Перечислит имена всех файлов, которые могли быть загружены на компьютер с помощью данного скрипта|
```
{Имя съемного/сетевого диска}\Dblue3.lnk
{Имя съемного/сетевого диска}\Eblue3.lnk
{Имя съемного/сетевого диска}\Fblue3.lnk
{Имя съемного/сетевого диска}\Gblue3.lnk
{Имя съемного/сетевого диска}\Hblue3.lnk
{Имя съемного/сетевого диска}\Iblue3.lnk
{Имя съемного/сетевого диска}\Jblue3.lnk
{Имя съемного/сетевого диска}\Kblue3.lnk
{Имя съемного/сетевого диска}\Dblue6.lnk
{Имя съемного/сетевого диска}\Eblue6.lnk
{Имя съемного/сетевого диска}\Fblue6.lnk
{Имя съемного/сетевого диска}\Gblue6.lnk
{имя съемного/сетевого диска}\Hblue6.lnk
{Имя съемного/сетевого диска}\Iblue6.lnk
{Имя съемного/сетевого диска}\Jblue6.lnk
{Имя съемного/сетевого диска}\Kblue6.lnk
{имя съемного/сетевого диска}\readme.js
{имя съемного/сетевого диска}\UTFsync\inf_data
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlin.txt
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlins.aspx
%Пользовательская температура%\tt.vbs
%Пользовательская температура%\m6.bin
%Пользовательская температура%\m6g.bin
%Пользовательская температура%\cr.bin
%Пользовательская температура%\if.bin
%Время пользователя%\if_mail.bin
%Пользовательская температура%\ode.bin
%Температура пользователя%\nvd.zip
%Пользовательская температура%\mimi.dat
%User Temp%\mso.jsp
%Темп пользователя%\ms.jsp
%Темп пользователя%\rdp.jsp
%Темп пользователя%\rdpo.jsp
%Время пользователя%\smgh.jsp
%Темп пользователя%\smgho.jsp
%User Temp%\logic.jsp
%User Temp%\logico.jsp
{Путь вредоносного ПО}\dn.ps1
{Путь вредоносного ПО}\m6.exe
{Путь вредоносного ПО}\svchost.dat
```
|6|
|---|
|Описание|
|
|Анализ логов в virustotal|
|Троян с запуском через powershell|
|
|EVENT 15|
|Скачивание super-cool-game с плохим хешом, а также с созданием сетевых папок|
|
|
|Создается сетевой хеш|
|
|EVENT 4103|
|Сканирование реестра, а также загрузка полезной нагрузки|
||
|
|Настройка удаленого хоста и выдача прав|
|
|EVENT 3|
|Подключение к 172.16.222.11:4321, и настройка на получение пакетов|
|
|EVENT 15|
|Создание сетевого файла|
|
|EVENT 2|
|Изменение времени создания bat файла|
|
|EVENT 11|
|Был создан файл l1.bat с explorer.exe|
|
|EVENT 4688|
|Была запущена командная строка с полными правами для бат файла l1.bat (\r\n\r\n)
|
|EVENT 1|
|Процесс 1 запустил зловредный код в павершел|
|
|После расшифровки - мы видим идет подключение к удаленному узлу: 172.16.222.11:4321(Прокси) и докачка данных|
|
|Был произведен вход в систему и запущен батовский файл l1.bat.
|
||
```
```
### Что на самом деле произошло?
Василий Пупкин случайно скачал зип архив с трояном.
Были созданы сетевые папки, настроено удаленное управление на подключение извне с полными правами. А также 1l.bat запустил зловредную зашифрованную нагрузку.
```
```
### Признаки по которым можно выявлять подобную активность(подробности описаны в событиях):
* Вход др. пользователя
||
|---|
* Изменение реестра с настройкой удаленого упр.
||
|---|
* Прокси
* Изменение времени файлов
* Создание сетевых папок
```
```
### Данные для осуществления мер по реагированию
1. Изменение данных реестра на изначальные
2. Анализ созданых папок (Также сетевых) с файлами, для дальнейшего удаления
3. Удаление прокси, и настройки удален. подключения.
4. Раз уж это комп ребенка, то можно во время этих действий вырубить сеть
5. Отключить ключи автозапуска трояна.
Sign in with Wallet
Connect another wallet