Лабораторная работа №2 - Расследование кибер-инцидентов

# Лабораторная работа №2 - Расследование кибер-инцидентов > [name=Строкач Н.А. БСБО-04-19] > **Цель лабораторной работы:** получить навыки расследования кибер-инцидентов средствами утилит форензики, поиска следов злоумышленника в системе. **Входные данные:** образ диска Windows 10, пользователь которого подвергся фишинговой атаке через электронную почту и потерял аккаунты, сохранённые в бразуере. **Задание:** 1. Обнаружить фишинговое письмо. 2. Обнаружить вредоносный код и проанализировать его действие. 3. Выявить, какие данные были скомпрометированы. ### Обнаружить фишинговое письмо. Изначально нет информации на какую почту пришло фишинговое письмо, необходимо это выяснить. Проанализировав историю браузера можно выяснить, что пользователь пользовался временной почтой, Google и Yandex почтами. На данные почты попасть не получилось, пользователь не хранил пароли в браузере для них. ![](https://i.imgur.com/ylW9MPC.png) Ищем в почтовом клиенте системы. Находим учетную запись Microsoft - alexmireaforensic_lab2@outlook.com. Пользователь уже был залогинен в эту учетную запись, поэтому можем просто зайти и проверить почту. ![](https://i.imgur.com/xjiTjKP.png) Находим нужное нам письмо. ![](https://i.imgur.com/dDv50oE.png) ### Обнаружить вредоносный код и проанализировать его действие. Исходя из просьбы злоумышленника поменять расширение файла, можно понять, что внутри файла прописан PowerShell-скрипт. Рассмотрим построчно наш файл: 1. Создается переменная PASSWORD, в которой хранится, зашифрованный с помощью ConvertTo-SecureString, пароль. ![](https://i.imgur.com/nv6wlAU.png) 2. Создается новый пользователь с именем WildRusHacker и зашифрованным паролем, созданным в первом пункте. ![](https://i.imgur.com/0pbPCK2.png) 3. Создается новая папка в C:\Program Files ![](https://i.imgur.com/alWwqqZ.png) 4. Далее злоумышленник хотел скопировать все данные из Login Data, который хранит все креды, имеющиеся в Google Chrome, в свою папку, созданную в предыдущем пункте. ![](https://i.imgur.com/07Zt2aU.png) ### Выявить, какие данные были скомпрометированы. Проведя анализ PowerShell-скрипта можно сказать, что данные были скомпроментированы из Login Data. То есть злоумышленник украл данные url-ов, логины и пароли, необходимые для этих url-ов. Для доступа к нашим данным ему необходимо дешифровать пароль(возможно только если приложение запущено на том ПК, где установлен Google Chrome. Если этот файл скопировать на другую машину - расшифровать не получится). ![](https://i.imgur.com/54FfO4I.png) Мы находимся на ПК пользователя, значит можем посмотреть все украденные данные в расшифрованном виде. **Вот список украденных данных.** ![](https://i.imgur.com/k9TppbI.png) Если открыть файл, украденный злоумышленником, то можно убедиться, что данные с lamoda и okko были скомпроментированы. ![](https://i.imgur.com/Y1tX8n8.png)

Syntax	Example	Reference
# Header	Header	基本排版
- Unordered List	Unordered List
1. Ordered List	Ordered List
- [ ] Todo List	Todo List
> Blockquote	Blockquote
Bold font	Bold font
Italics font	Italics font
~~Strikethrough~~	~~Strikethrough~~
19^th^	19^th
H~2~O	H₂O
++Inserted text++	Inserted text
==Marked text==	Marked text
[link text](https:// "title")	Link
![image alt](https:// "title")	Image
`Code`	`Code`	在筆記中貼入程式碼
```javascript var i = 0; ```	`var i = 0;`
:smile:		Emoji list
{%youtube youtube_id %}	Externals
$L^aT_eX$	L^aT_eX
:::info This is a alert area. :::	This is a alert area.