###### tags: `INT`
# INT-1-Омаров_Джамалутин
*Выполнил Омаров Джамалутин*
## Работа специалиста SOC
### Task 1
Развернул виртуалку Win7. На нее загрузил архив с заданиями.
1. Первичный осмотр.
Перед нами HTTP запрос.
Наш HTTP запрос имеет такую структуру:
* Метод - GET
* URL - длинная строка на скриншоте
* Версия HTTP - HTTP /1.1 (расположена после URL, не влезла в скриншот)
* Заголовки - Host, Connection, Accept, User-Agent, Accept-Encoding
Подробнее о заголовках:
`Host` - имя домена, в нашем случае просто IP, которому предназначен запрос.
`Connection: keep-alive` - разрешает повторное использование соединения для нескольких запросов/ответов. Другими словами, обозначает, что все еще можно пользоваться соединением.
`Accept: */*` - Обозначает любой тип MIME.
`Accept-Encoding: gzip, deflate` - указывает кодировку содержмого, формат сжатия.
`User-Agent: python-requests/2.25.1` - используется для идентификации приложения или узла, который обращается.
Перевод на человеческий язык: `python-requests/2.25.1` обращается к `Host` для того, чтобы совершить то, что он передал в `URL` `GET` запроса.
2. Кодировка
Обратил внимание на то, что URL закодирован. Давайте раскодируем, чтобы получить более читаемую строку.
Результат тоже раскодируем.
`;` используется как разделитель.
Здесь уже можно разобраться.
Наблюдаю файлы с разширение `.jsp`. Это документ JAVA для динамического создания веб-страниц.
Вначале сервер понимает, что если присутствует файл `login.jsp`, то неавторизированным пользователям разрешено зайти на страницу. Но дальше цепочка обрывается, злоумышленник будто обманул и убедил сервер в своей авторизации и вызывает следующий модуль JAVA.
Файл `tmshCmd.jsp` думаю bash подобная оболочка, позволяющая выполнять команды, `?command=` нам об этом и говорит.
Далее `wget` - скачивания файла с указанного ресурса.
После `chmod 777`, которая повышает привелегии этого файла на выполнение всеми.
`sh oh...rip.sh` - выполнение файла
Далее опять `wget`, в котором указан веб-сайт. Зайдем на него.
Для чего злоумышленнику был необходим данный веб-сайт остается загадкой для меня, но факт, что он выполнил удаленную команду в пользовательском интерфейсе управления трафиком.
3. Каким образом выяснено, что это атака?
Обход авторизации -> повышение прав -> удаленное выполнение скрипта.
Даже по признакам легального поведения, выявленного в компании, думаю той же компании по информационной безопасности, данное поведение призналось бы нелегальным.
4. IoC
* Несанкционированное изменение конфигурационных файлов, реестров или настроек устройств
* Нетипичное для человека поведение
* Повышение привелегий
* Нетипичное использование веб
5. Каким образом можно удостовериться в успешности атаки.
Если файл выполнился, то должна остаться информация об этом. Это можно посмотреть в логах.
### Task 2
Представлен файл события из журнала аудита Windows.
1. Что подозрительного в событии?
Конвертировал символы вначале, это опции какой-то команды.
Как минимум то, что опции передаются в неявном виде уже можно считать подозрительным.
Также вижу Invoke-Expression, который вычисляет или выполняет указанную строку. Видно, что строка собирается как массив, причем указано место каждого элемента массива.
2. С какой целью?
Возможно какие-то параметры запрещены к использованию данному пользователю и он решил передать данные параметры в качестве собранного массива элементов.
### Task 3
Даны события из журнала аудита.
1. Что является подозрительным?
Подозрительно то, что нет описания для данных кодов события.
2. По каким признакам?
Наткнулся на интересное событие.
Раскодировал, здесь попытка скачивания. Обращаю ваше внимание на то, что данное действие было запрещено данному пользователю. Он решил пойти подозрительным способом.
Также использование dll.
3. Какие IoC можно выделить из этих событий?
* Обход контроля учетных записей PowerShel
* Использована Кодировка + Powershell
* Подключение dll (поясню)
`svchost.exe` - это процесс совместной службы, который служит оболочкой для загрузки служб из DLL-файлов. Данная служба была запущена не один раз.
Также мы видели как Alexander Roshal распакует dll.
Почему сторонний dll используется каким-то рядом с `WINWORD.exe`?
Также отметил для себя `WmiPrvSE.exe` - один из необходимых системных процессов Windows, позволяющий программам на компьютере получать различную информацию о системе. Данный процесс заметил, не один раз.
4. Объясните суть подозрительных действий.
Вначале можно наблюдать, что Microsoft Office поврежден, так как присутствуют ошибки. Возможно просто помятая версия, а может быть это сделано умышленно, но нам этого не показали.
Далее видим открытие файла docx + открытие explorer. Возможно ничего подозрительного.
Дальше прочитал в интернете, что файл в папке TEMP может быть опасен, тем не менее с ним, видимо взаимодействует `WINWORD.exe`.
Поделились информацией о системе.
После этого произошло обращение к Кэш. Его я не стал комментировать. Теперь видим открытие файла.
Из интересного далее распаковка dll из архива.
CONHOST.exe - отвечает за командную строку. Внешний вид и ее отдельные возможности.
Далее открытие Powershell.exe и скачавание.
Происходит запуск процесса в скрытом окне.
Я думаю это попытка запуска.
### Task 4
Представлено корреляционное событие.
1. Что произошло на узле?
Запуск процесса в скрытом окне.
* Задетектили по параметру `-w hidden`
* Узел `larteshina.plat.form`
* Статус `success`
* Важность `high`
* Действие `execute`
Из интересного:
2. С помощью чего удалось добиться?
Если речь про атаку, то смотрим на `"event_src.subsys": "Microsoft-Windows-Powershell/Operational"`
Если имелось в виду, с помощью чего задетектили, то смотрим на `"primary_siem_app_name": "Maxpatrol 10"`
3. Адрес С&C и Порт.
Не обнаружено.
### Task 5
Поступила команда.
1. К какому семейству принадлежит данное ВПО?
Данное ВПО принадлежит классу шифровальщиков, потому что при написании кода использовались названия алгоритмов шифрования. Также скрипт загружает файлы.
2. Имена файлов, которые могли быть загружены на компьютер.
### Task 6
Приведена выдержка из событий журнала аудита.
1. Описание.
Пользователь vpumpkin скачал архив вместе с Payload.
Дальше запускается cmd.
А сразу после нее Powershell.
С такими опциями.
Они обозначают:
* -nol NoLogo
* -nop NoProfile
* -ep ExecutionPolicy Bypass
То есть открывается Бэкдор.
Далее `conhost.exe` для обработки консольного окна.
Опять видим Бэкдор. А после него и сам Payload.
```
-enc сообщает Powershell, что следующая строка будет закодирована base64 и Powershell потребуется декодировать строку для выполнения кода
-noP указывает Powershell не использовать профиль. Профиль может содержать переменные среды и псевдонимы для текущей оболочки; это похоже на эквивалент .bashrc в Linux
-sta запускает команду Powershell как единый поток на компьютере
-w 1 указывает Powershell выполнить команду в фоновом режиме и скрыть приглашение Powershell
```
Похоже на проксирование.
Декодируем строку внутри.
Получатель.
Далее производятся удаленный действия на компьютере через Invoke-Command.
Видим уже знакомые сведения о конфигурации пользователей и тд.
По ключевому слову можно догадаться какая цель атаки.
2. Признаки, по которым можно выявлять подобную активность.
* Запрет на использование Invoke.
* Отличается ThreadID и ProcessID.
Мы уже проводили аудит активности в Powershell, думаю можно блочить флаги, которые я указал ранее.
* Группа без участников, также в ней нет участников безопасности.
Тоже можно блочить. Но с другой стороны по какому параметру, если это текст?
Но далее встретил это. Выглядит еще более подозрительно.
* Параметр name.
Думаю легитимный разработчик не будет так называть ничего.
Sign in with Wallet
Connect another wallet