WINDOWS - HackMD

# WINDOWS ## Описание В данном задании необходимо проанализировать [машины](https://drive.google.com/file/d/1ac3LNTmnd7rK2O3K_5kCAXm0zQj4VvVi/view?usp=share_link) и дать жюри развернутый ответ на следующие вопросы: 1. Какой пароль от Ransomware? 2. Какие процессы в системе являются вредоносными? 3. Как произошла доставка вредоносного ПО? 4. Какие средства обфускации были использованы? 5. Как злоумышленник нашел учетные данные от Web-сервиса? ## Решение 1. В начале участникам необходимо выполнить дешифровку файлов на машине, проведя анализ Ransomware с Linux машины, и написать дешифратор. 2. Следующим шагом необходимо выполнить анализ процессов в системе, используя следующее ПО: ``` • Process Hacker 2; • Task Manager. Обнаружив "вредоносные процессы", которых в данной системе по умолчанию в запуске не должно быть: Процесс: Antimalware Service Executable Идентификатор процесса (ID): 111 Процесс: Host Process for Windows Tasks Идентификатор процесса (ID): 222 Процесс: Runtime Broker Идентификатор процесса (ID): 333 Процесс: Security Health Service Идентификатор процесса (ID): 444 Процесс: Windows Explorer Идентификатор процесса (ID): 555 ``` 3. Теперь участникам нужно убедиться, что эти процессы действительно являются вредоносными, обнаружив в автозагрузке те же самые процессы (рис. 1): ![](https://i.imgur.com/N4mUk1k.jpg) Рис. 1 4. Обнаружив на рабочем столе под файл-именем Doom.exe, участникам необходимо сделать вывод, что доставка вирусов произошла с помощью дроппера DOOM.exe, а также, что данный файл является дроппером, на это указывают данные строчки кода (рис. 2): ![](https://i.imgur.com/I8SQr2Y.jpg) Рис. 2 5. При дальнейшем анализе машины, через свойства получаем местоположение вредоносных файлов, пути следующие: ``` • Antimalware Service Executable - C:\Windows\ • Host Process for Windows Tasks - C:\Users\{USERNAME}\AppData\Roaming\ • Runtime Broker - C:\Users\{USERNAME}\AppData\Roaming\ • Security Health Service - C:\Users\Administrator\ • Windows Explorer - C:\ProgramData\Windows ``` 6. В ходе обратной инженерии данных файлов делаем вывод, что файл обфусцирован (рис. 3). ![](https://i.imgur.com/L1hAylt.jpg) Рис. 3 7. Необходимо снять обфускацию, для чего нужно воспользоваться .NET Reactor Slayer (рис. 4): ![](https://i.imgur.com/RoAJw2h.jpg) Рис. 4 Использование .NET Reactor исходит из подсказки в коде (рис. 5): ![](https://i.imgur.com/UrH5I6g.jpg) Рис. 5 Также одно из пространств имен имеет имя: njRat, что говорит о имени зловреда (рис. 6): ![](https://i.imgur.com/yrxyjSr.jpg) Рис. 6 8. Затем, сняв обфускацию, подтверждаем, что данный файл njRat выполнил проверку в VirusTotal, опираясь только на надежные источники (рис. 7). ![](https://i.imgur.com/sBneeH5.jpg) Рис. 7 9. Перед тем, как запускать вредоносный файл, участнику необходимо записать сетевой трафик и обнаружить C&C сервер или выполнить обратную разработку (рис. 8): ![](https://i.imgur.com/8XYFstp.jpg) Рис. 8 10. Далее участнику необходимо обнаружить: • Историю в Google Chrome (рис. 9). ![](https://i.imgur.com/xLv1Tbd.jpg) Рис. 9 • И получить пароль из Google Password Manager (рис. 10). ![](https://i.imgur.com/yUHZToh.jpg) Рис. 10