# Инструкция к лабораторной работе №2 ## Нам известно: 1) Было получено фишинговое письмо. 2) Данные пользователя для авторизации на некоторых сайтах, вероятно, были скомпрометированы. ## Нам нужно: 1) Понять какие данные подверглись раскрытию. 2) Понять как это произошло. 3) Получить доказательства. ## Ход работы: Создаем новую виртуальную машину, выбираем отложенную установку ОС: ![](https://i.imgur.com/9urTTt3.png) Завершаем создание ВМ и заходим в её настройки: ![](https://i.imgur.com/9r1vaKz.png) Удаляем существующий жесткий диск: ![](https://i.imgur.com/iGxnYVB.png) И создаем новый, указывая в качестве самого диска сущесвующий .vmdk файл: ![](https://i.imgur.com/RtqNmOX.png) ![](https://i.imgur.com/wYa3oAj.png) Теперь можем запускать машину. --- Так как точкой входа злоумышленника в систему стало фишинговое письмо, попробуем его найти. Используем для этого утилиту OST Viewer. При запуске нам предлагается выбрать или найти файл электронной почты: ![](https://i.imgur.com/iNtI6dS.png) Попробуем найти его на диске, для этого выберем наш диск и нажмем search: ![](https://i.imgur.com/hJOqkq9.png) Находим файл фишингового письма: ![](https://i.imgur.com/6veR4Ot.png) Смотрим что там: ![](https://i.imgur.com/yV4UUin.png) Предполагаем что пользователь скачал и запустил PowerShell скрипт, создающий нового пользователя WildRusHacker, папку в Program Files с аналогичным названием. Затем туда был скопирован файл с сохраненными паролями Chrome. Однако когда речь идет о расследовании киберинцидента, просто предположить недостаточно. Поэтому нужно найти доказательства того, что этот скрипт был исполнен. Для этого сделаем дамп памяти системы и проанализируем его. Для создания дампа воспользуемся утилитой DumpIt. При запуске нам выводится информация о диске и путь, куда будет сохранен дамп: ![](https://i.imgur.com/f9aJzJL.png) Нажимаем *y* и ждем. Файл .raw сохранится по указанному в терминале пути. Теперь исследуем дамп с помощью Volatility Framework (обратите внимание, для использования утилиты необходим установленный python). Скачав Volatility с официального сайта разработчика, нам следует запустить командную строку Windows и перейти в папку Volatility. Давайте посмотрим справку к утилите и доступные плагины: ![](https://i.imgur.com/ql34ms4.png) Воспользуемся плагином FileScan, позволяющим просмотреть файлы в системе: ![](https://i.imgur.com/AzfyMc2.png) В аргументе -f указываем путь к дампу, который мы создали на предыдущем шаге. ![](https://i.imgur.com/lEjQeWM.png) Находим в папке пользователя вредоносный скрипт. Осталось убедиться в том, что он был запущен. Для этого воспользуемся плагином cmdline, отображающим действия в системе: ![](https://i.imgur.com/aAyPKCy.png) И находим скрипт: ![](https://i.imgur.com/NGcKi3Z.png)