Привет! Не так давно отгремела НТО по информационной безопасности для школьников. Для опытных участников CTF она не вызовет трудностей, однако для начинающих таски выдались более чем содержательные – поэтому хотелось бы ими поделиться, разобрать некоторые, а также по ходу дела порассуждать на тему формата. Если интересно – добро пожаловать под кат!

Что такое НТО, и с чем ее едят?

Если очень кратко: национальная технологическая олимпиада, проходящая для школьников с 8 по 11 класс и имеющая огромное множество профилей. Но мы же здесь собрались, чтобы послушать про инфобез, верно?

Проходила она в этом году на базе МИФИ в Москве. Занимает порядка недели, преимущественно в конце марта. Имеет скромный III уровень в рейтинге РСОШ, однако привлекает участников она не поэтому – НТО олимпиада в первую очередь исследовательская, с интересными и нестандартными заданиями для пытливых умов школьников со всей России. Но и плюшками участников не обделили: начиная от мерча, заканчивая БВИ в МИФИ и подпиской Яндекс.Плюса для призеров и победителей.

Финал разделен на два основных этапа: предметные туры по математике и информатике, на которых мы останавливаться не будем, и инженерный тур, проходящий в 3 дня. Инженерный тур, в свою очередь, подразделяется еще на три части, связанные общей легендой – классический jeopardy (или task-based) CTF, расследование киберинцидента (форензика), а также закрытие уязвимостей. Доступ к этапам открывается поочередно.
Суммарно на решение инженерного тура участникам выделяется порядка 18 часов.

В этой статье я хотел бы разобрать две машины из части, посвященной форензике – необычной и содержательной.

Легенда

Старшеклассник Валера, учащийся в школе кибербезопасности (однако особым умом, видимо, не отличавшийся), находит файлик с уникальным лаунчером Майнкрафта “без смс и регистрации”, и, как всякий порядочный школьник, запускает его сначала на своем, а потом и на отцовском компьютере – а он не запускается, да и все тут… Неудивительно, что ребятенок скачал какую-то малварь. А тут еще и папа – сисадмин компании, которая питает энергией весь город. Упс, неловко вышло… Так что по ходу олимпиады нам придется всю эту кашу, заваренную Валерой, разгребать.

Машина №1

Начинаем мы с образа (забрать его можно, кстати, тут) и пачки вопросов, на которые нам придется давать развернутые ответы и бегать к жюри защищаться.

• Как злоумышленник попал на машину?

• Как повысил свои права?

• Как злоумышленник узнал пароль от passwords.kdbx?

• Куда logkeys пишет логи?

• Пароль от чего лежит в passwords.kdbx?

Разведка

Но, прежде чем начинать отвечать на вопросы, нужно заполучить доступ от какого-нибудь юзера. Из подходящих кандидатов напрашиваются root (как предел мечтаний) и встречающий нас на главном экране Sergey, неприветливо защищенный паролем. Благо у нас есть физический доступ к машине и мы можем воспользоваться старым как мир, но все таким же действенным способом – отредактировать параметры GRUB.

Запускаем машину, несколько раз прожимаем Escape, затем E… и, вуаля, у нас есть окошко редактора:

Теперь заменяем строчку ro quiet splash $vt_handoff, отвественную за некоторые параметры запуска Linux’a, на rw $vt_handoff init=/bin/bash, что позволит нам запуститься в оболочке /bin/bash, с root-правами и правом на запись в систему.

Ctrl+X… Boot. Теперь при помощи обыкновенного passwd получим доступ к обоим желанным юзерам:

Заходим от имени Сергея, уже с графическим интерфейсом. Давайте осмотримся на предмет наличия интересных файлов в директории юзера.
Как выясняется, интерес представляют лишь корень и папка Downloads:

minecraft.jar, вероятно, и есть тот самый лаунчер Майнкрафта с вредоносом – позднее отправим его на декомпиляцию, благо она не составляет труда.

password.kdbx упоминался в вопросе – вероятно, нам нужно будет раздобыть от него пароль.

Видим linpeas – понимаем, что дело пахнет повышением привилегий. Это, кстати, тоже отдельный вопрос.

И, наконец, VTropia.exe – странный экзешник не от мира сего (на Ubuntu он явно не запускался). Отложим его до лучшим времен.

Самое время приступить к вопросам отчета форензика!

Как злоумышленник попал на машину?

Устанавливаем любой декомпилятор для .jar файлов – я воспользуюсь QuiltFlower.
Наблюдаем потенциально интересную папку Malware, в которой находится файл ReverseShell.java…

…который в действительности является реверс-шеллом. Отлично, мы знаем, как хакер проник на машину!

Здесь важно сделать оговорку: в силу того, что защита этого тура очная, вас будут пытаться завалить выяснить все подробности – объяснение в духе “через зараженный лаунчер Майнкрафта” без пояснений не прокатит.

Как повысил свои права?

Самое время для утилиты linpeas, специально предназначенной для поиска способов эксалации привилегий, и любезно оставленной нам злоумышленником (злоумышленник вообще достаточно беспечен – возможно, авторам следовало получше спрятать файлы, использованные “хакером”).

В выводе утилиты можно потеряться, но нас интересует яркая подсветка, которую можно найти в разделе “Interesting Files: SUID/SGID”.

В выводе также представлена ссылка на ресурс hacktricks с подробным описанием уязвимости, которую я, пожалуй, продублирую здесь для интересующихся.

И поэтому я позволю себе не останавливаться на ней подробно, а лишь покажу пример эксплуатации:

Как злоумышленник узнал пароль от passwords.kdbx?

Самое время выяснить, что за зверь такой logkeys. Находим репозиторий на GitHub’e… узнаем, что logkeys – кейлоггер для Linux’a. Вектор атаки нарисовывается.

Обнаруживаем, что бинарь лежит в уже знакомой нам папочке Downloads:

А по стандартному пути (/var/log/logkeys.log) находится файл с логом (здесь, кстати, нам пригодятся полученные ранее root-права):

При помощи реверс-инжиниринга нетрудно убедиться, что этот файл – то, что нам нужно:

Все встало на свои места. Злоумышленник подгрузил кейлоггер и позднее вытащил из него пароль от passwords.kdbx.

Пароль от чего лежит в passwords.kdbx?

Для ответа нам потребуется лишь аккуратно переписать мастер-пароль из logkeys.logи воспользоваться графическим интерфейсом пользователя Sergey.

Мастер-пароль, который разблокирует менеджер паролей: 1_D0N7_N0W_WHY_N07_M4Y83_345Y.

Видим единственную запись от Windows RDP – вероятно, от рабочего компьютера во внутренней сети отца нашего Валеры:

Это также данные для авторизации на второй машине, на базе Windows. Переходим к ней!

Машина №2

И снова у нас пять вопросов:

• Какой пароль от Ransomware?

• Какие процессы в системе являются вредоносными?

• Как произошла доставка вредоносного ПО?

• Какие средства обфускации были использованы?

• Как злоумышленник нашел учетные данные от Web-сервиса?

Образ можно скачать тут.

Разведка

Итак, снова начинаем с разведки. Успешно авторизуемся в систему под пользователем Administrator при помощи ранее полученного пароля.

При входе нас встречает сразу пачка уведомлений о критических угрозах от Windows Defender’a. Восстановим все возможное для дальнейшего анализа:

Все они так или иначе упоминают бэкдор Bladabindi. Сохраним список путей к бинарникам (они пригодятся позднее, при ответе на второй вопрос):

C:\Users\Administrator\Desktop\Doom.exe
C:\ProgramData\Windows Explorer.exe
C:\Users\Administrator\AppData\Local\Temp\Runtime Broker.exe
C:\Users\Administrator\Security Health Service.exe
C:\Windows\Antimalware Service Executable.exe
C:\Users\Administrator\AppData\Roaming\Host Process for Windows Tasks.exe

Как мы можем видеть, малварь достаточно наглая и создает целых пять копий себя, маскирующихся под легитимные процессы Windows.

На рабочем столе наблюдаем вредонос Doom.exe, записку шифровальщика и браузер Chrome, в котором, вероятно, будет интересующая нас информация (так как в одном из вопросов упоминается некий Web-сервис):

Попытаемся разобрать файл Doom.exe, который определяется ресурсом VirusTotal как дроппер. Отправим его в Detect It Easy, чтобы определить формат вредоноса.

Формат .NET означает, что мы сможем декомпилировать исполняемый файл без особых проблем при помощи, например, dnSpy.

Подтверждаем свою гипотезу о дроппере и количестве вредоносных файлов. Порывшись в DoomResources, убеждаемся, что это те самые файлы, которые мы обнаружили ранее. Однако никакой новой информации декомпилированный Doom нам не дает:

Самое время разреверсить один из образцов вирусов, доставленных дроппером. Повторяем процедуру – Detect It Easy, dnSpy. Приходим к тому же результату, только на этот раз у нас есть проблема…

И тут мы подходим к нашему первому (но не первому по списку) вопросу…

Какие средства обфускации были использованы?

Видим, что код превратился в нечитаемую кашу, а в одной из функции содержится предупреждение об использовании незарегистрированной версии достаточно известного обфускатора Eziriz’s .NET Reactor. Непродолжительный поиск в Интернете подсказывает, что стоит установить скрипт-деобфускатор под названием .NET Reactor Slayer.

Успех! Налицо образец трояна удаленного доступа njRAT. Так же считает и VirusTotal.

Теперь мы стопроцентно уверены в том, как была проведена атака. Осталось разобраться с ее последствиями – большинство файлов на диске зашифрованы в формате .p4blm. На этот раз Гугл нам не помощник – шифровальщик придется искать самостоятельно.

Здесь можно как-то вспомнить про таинственный экзешник VTropia.exe, лежащий на предыдущей машине, а можно пойти менее эффективным, но дающим более глубокое понимание, путем.

Исследование всех запускавшихся в системе процессов

При каждом запуске приложения в Windows создается так называемый prefetch file, отвечающий за логирование всей важной информации, связанной с исполнением процесса.

В удобном формате просмотреть их можно с помощью утилиты WinPrefetchView. Это крайне полезная утилита в вопросах форензики, особенно связанных с дропперами и атаками, подразумевающими непосредственный запуск вредоносов.

Здесь мы видим описанное ранее действие дроппера Doom.exe, запуск копий njRAT и их функционирование… а также старого знакомого – VTropia.exe, после чего лог от 16 марта прекращается.

Для полного понимания атаки также хочется выяснить, как же все-таки дроппер и шифровальщик попали на машину. Исходя из того, что запись в KeePass недвусмысленно намекает на доступ по RDP, мы отправляемся смотреть логи… и ничего. Абсолютная пустота. И так везде – вредоносы просто существуют и просто запускаются. Не стоит забывать про то, что любые логи можно вычистить… Но, учитывая то, сколько оплошностей допустил и следов оставил наш “злоумышленник”, в это предположение слабо верится.

Как выяснилось позднее, авторы действительно решили не заморачиваться – и перенесли файлы простым drag’n’drop’ом на виртуальную машину :D

Какой пароль от Ransomware?

Наконец-то можно приступить к реверс-инжинирингу VTropia.exe, предположительно ransomware (шифровальщика).

Он, как и все вредоносы в этой атаке, написан при помощи .NET Framework, поэтому в очередной раз проделываем описанную выше процедуру с DIE и dnSpy. Видим, что исходник ничем не обфусцирован – это нам на руку.

Обнаруживаем следующий раздел Config:

Раскодируем все его параметры – например, при помощи ресурса CyberChef, позволяющего удобно проворачивать подобные сложные цепочки преобразований:

Config.Key = 'WhenYoullComeHome'
Config.IP = 'https://pastebin.com/raw/VRjvXMu1' -> 'HelloWin'
Config.User = 'NTI-User'
Config.Message – сообщение, которое мы ранее видели в info.txt на рабочем столе

Так выглядит основная функция шифровальщика – в ней применяется симметричный шифр AES Rijndael:

Кажется, что если мы сможем заполучить значение строки password, то сможем убить сразу двух зайцев: ответить на вопрос и написать декриптор – ведь переменные Key и IV (initialization vector) задаются именно ей. А для этого нужно разобраться с функцией CalculateKey. Заглянем в исходный код:

Нетрудно заметить, что условие catch никогда не выполнится – при конкатенации двух константных строк ошибки не произойдет. А “HelloWin” и Config.User – наши старые знакомые из раздела Config.

Вычислим значение переменной result, определяющей password и в дальнейшем passwordBytes:

result = MD5("HelloWinNTI-User")
result = "084b988baa7c8d98cda90c5fe603c560"

Теперь мы готовы написать свой собственный дешифратор. Удалим все лишнее из кода и запустим функцию дешифрации с предпосчитанными параметрами на единственном входном файле – в подробности реализации вдаваться не буду, лишь размещу итоговый код.

Как злоумышленник нашел учетные данные от Web-сервиса?

Для того, чтобы найти Web-сервис, на который заходил злоумышленник, логично заглянуть в историю браузера. Выбор пал на Google Chrome, и мы не прогадали:

В истории есть запросы с некоторым IP-адресом локальной сети (что соотносится с легендой), ныне недоступным, 15 марта – в дату, в которую происходило вторжение.
Попробуем узнать, не содержатся ли где-то в системе учетные данные от сервиса. Для этого заглянем в папки, где Chrome хранит информацию, которая может быть нам интересна:

C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default
C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\3

В папке “Login Data” с сохраненными паролями находим пустые SQLite базы данных Chrome Login Data и Login Data for Account, а также зашифрованный Login Data.p4blm, любезно “замороженный” нам ранзомварью. Благо для нас расшифровка теперь не составляет никакого труда. Запускаем наш скрипт и открываем полученный файл с расширением .p4blm.p4blm в любом SQLite-редакторе:

Бинго! Мы нашли логин от того самого сайта, который видели ранее – admin. Пароля, правда, нет… Но мы не отчаиваемся и продолжаем поиски дальше. Больше никакой интересной информации папка Default нам не дает…
Зато в личных данных пользователя находим несколько зашифрованных файлов, один из которых – passwords.txt, по которому можно запустить брутфорс к сервису и получить доступ к админке компании, питающей энергией весь город!

Заключение

Пройдя весь этот нелегкий путь, мы с вами восстановили всю историю атаки, выследили злоумышленника, вылечили зараженные компьютеры и написали декриптор для шифровальщика.
Я надеюсь, задачи и этот разбор вам понравились так же, как нам задания на олимпиаде!

В качестве заключения хотелось бы резюмировать все использованные при решении приемы и утилиты форензики:

• получение root-шелла с помощью редактирования параметров GRUB при физическом доступе

• QuiltFlower – для декомпиляции .jar-файлов

• LinPEAS – для повышения привилегий на Linux-системе

• HackTricks – подробная информация об эксплуатации уязвимостей всякого рода

• VirusTotal – для анализа вредоносной активности приложений

• Detect It Easy – для обнаружения формата файла для дальнейшей декомпиляции

• dnSpy – для декомпиляции приложений, написанных при помощи .NET Framework

• .NET Reactor Slayer – для снятия обфускации, созданной при помощи .NET Reactor

• WinPrefetchView – для исследования всех запускавшихся в системе процессов

• CyberChef – для криптографических целей

После форензики участников ждал третий этап инженерного тура – закрытие уязвимостей. Если очень кратко: дан абсолютно дырявый сервис с той самой админкой, которую мы нашли ранее, и его исходники – по ходу соревнования нужно находить, эксплуатировать и залатывать обнаруженные уязвимости. Если вам понравился такой формат, в следующей статье я могу разобрать и его. Дайте знать об этом в комментариях!
Также буду рад конструктивной критике и необычным подходам к решению :)

До встречи на просторах Хабра!