![image](https://habrastorage.org/webt/oj/9u/rg/oj9urglw6wrxoa0dq2tswb_2xvu.jpeg)
Данная статья содержит решение заданий, направленных на криминалистику оперативной памяти, разбора пэйлоада для USB Rubber Duck, а так же расшифрования перехваченных паролей групповой политики Windows.
Часть 1 — Disk forensics, memory forensics и log forensics. Volatility framework и Autopsy.
Организационная информация
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:
Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
- PWN;
- криптография (Crypto);
- cетевые технологии (Network);
- реверс (Reverse Engineering);
- стеганография (Stegano);
- поиск и эксплуатация WEB-уязвимостей.
Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Ugly Duckling
![image](https://habrastorage.org/webt/ll/i9/7v/lli97v9c2mpscbt5wmyx7xythkc.png)
По заданию нам говорят, что компьютер генерального директора был скомпроментирован изнутри, а у стажера нашли флешку с подозрительным файлом. Этот файл нам дают для анализа.
Собирая воедино факты, и учитывая название задания, можно предположить, что файл был запущен при подключении флешки к устройству. Это похоже на атаку USB Rubber Ducky. Для разбора этого файла будем использовать DuckToolkit.
![image](https://habrastorage.org/webt/cs/8-/cr/cs8-cr5nt1jnfs58gl-1soh4t7c.png)
Посмотрим файл с декодированным кодом. Там имеется шеллкод, написанный на языке powershell.
![image](https://habrastorage.org/webt/7u/ro/lr/7urolrvshhtf3qce8q7-gdmwt3g.png)
Код закодирован в base64. Давайте декодируем.
![image](https://habrastorage.org/webt/al/yb/-q/alyb-qgxodtoyhkggo-lhgliyxi.png)
Нетрудно догадаться, что данный код скачивает файл. Второй код его запускает.
![image](https://habrastorage.org/webt/pf/kc/9t/pfkc9ted8r-5aixmh5_ee4khqjw.png)
Декодирование названия файла, дает нам прямое указание на флаг.
![image](https://habrastorage.org/webt/ap/xt/tg/apxttgj789b6ifnrsi3aiwandew.png)
Я запустил программу(что в таких случаях не нужно делать) и получил флаг.
![image](https://habrastorage.org/webt/5l/nt/li/5lntlilx9ga3fv9duv62p6giy6i.png)
Active Directory — GPO
![image](https://habrastorage.org/webt/z8/5u/-e/z85u-eyf3f36r6u2qvswgc11u9y.png)
Нам дают дамп трафика, записанного во время загрузки рабочей станции, которая находится в домене Active Directory. Задача: найти пароль администратора.
Открываем дамп трафика в wireshark. Нажимаем Ctrl+F для поиска строки password среди содержимого пакетов.
![image](https://habrastorage.org/webt/vm/yp/ex/vmypex99qs1ur3yq2hw2faucyye.png)
Находим пакет. Откроем его двойным левым кликом.
![image](https://habrastorage.org/webt/7x/vj/rs/7xvjrsd76kllns6jd4ogzbndd1m.png)
По содержимому можно сказать, что мы нашли файл Groups.xml, где содержится зашифрованный пароль. Давайте скопируем его, для этого после правого клика выбираем “as a Printable Text”.
![image](https://habrastorage.org/webt/pc/ha/4d/pcha4dsfwfuv1few_zkxpezdhwc.png)
В файле у нас хранится информация о двух пользователях. Давайте расшифруем cpassword. Информацию о способе шифрования и ключ можно взять на официальном сайте Майкрософт здесь.
![image](https://habrastorage.org/webt/ws/be/fi/wsbefik8386_a5f9_0booxfe1ry.png)
Для расшифрования пароля я буду использовать Cryptool (https://www.cryptool.org/en/ct1-downloads).
Вставляем наш пароль в Base64 в окошко и выбираем:
Indiv. Procedures --> Tools --> Codes --> Base64 Encode/Decode --> Base64 Decode.
Но при попытке декодировать получим вот такое предупреждение.
![image](https://habrastorage.org/webt/7l/ig/nu/7lignukbtg_ktv4_2ge_koc7hce.png)
Давайте к нашем тексту добавим =, чтобы добить блок до нужной длины. Повторим декодирование.
![image](https://habrastorage.org/webt/fr/ke/xd/frkexdm4vqlx90stllffpy6sva0.png)
Теперь расшифруем: Analysis --> Symmetric Encryption (modern) --> AES (CBC). В открывшемся окошке выбираем длину ключа 256 бит и вставляем ключ.
![image](https://habrastorage.org/webt/rm/2e/yf/rm2eyfebwnwjlezmytmicuw4q9u.png)
Как результат, получаем расшифрованный пароль.
![image](https://habrastorage.org/webt/rt/il/7h/rtil7hswyxdu7fhkigf-qilkzds.png)
Command & Control — level 3
![image](https://habrastorage.org/webt/ra/bt/ah/rabtahm3xmws4bm7oiq8kwp7nvq.png)
В задании нас просят найти малварь в дампе оперативной памяти. Будем использовать Volatility. Начнем с информации о системе.
![image](https://habrastorage.org/webt/jx/it/q5/jxitq5gimo-bacgdsgpyqi2wsui.png)
Так используется Windows 7 SP0 x86. Давайте посмотрим список процессов в древовидной структуре.
![image](https://habrastorage.org/webt/fo/in/dr/foindrajpzmxcfambiodpuf0jtq.png)
![image](https://habrastorage.org/webt/pi/wt/ft/piwtftdcv01xqbdnghm2t4lg2rw.png)
Есть одна очень подозрительная вещь. Браузер запускает консоль. Давайте взглянем на список подгружаемых модулей. Самым первым будет исполняемый файл.
![image](https://habrastorage.org/webt/ab/hc/iv/abhcivoke4okbjuuz-pogke-oa8.png)
Стандартный браузер Майкрософт расположен в окружении System32, а данная программа в окружении пользователя. Тем более она использует Dll библиотеку AVAST, что скорее всего помогает программе быть незамеченной антивирусом. Осталось взять md5 от полного пути…
Command & Control — level 4
![image](https://habrastorage.org/webt/jb/9r/5b/jb9r5b9wpgzatm0pku9-b4ckffq.png)
Нам говорят, что вредоносное ПО используется для передачи данных. Задача найти адрес сервера и порт.
Открываем дамп в Volatility. Так как это один и тот же дамп с прошлого задания, поэтому информацию о системе мы знаем. Также мы знаем, что целевое ПО запускает командную строку, поэтому будет логичным проверить историю команд. Для этого нам поможет модуль consoles. Из двух процессов нас интересует с PID’ом 1616.
![image](https://habrastorage.org/webt/at/r_/qu/atr_quemeqz3gn0nrx_rnlqlspc.png)
Из истории команд можно выделить запуск приложения для перенаправления трафика между разными сетями — tcprelay. Данное приложение можно использовать, для вариации передвижений внутри сети компании.
Conhost.exe является процессом, который обрабатывает консольные окна в Windows. Он решает одну из фундаментальных проблем предыдущих версий Windows, которая проявлялась при управлении консольными окнами и нарушала работу в режиме перетаскивания объектов «drag & drop» в Windows Vista.
Сдампим процесс conhost.
![image](https://habrastorage.org/webt/b2/o8/1p/b2o81pfd30ettg5u7j0dbwacah0.png)
А теперь глянем строки, которые он будет содержать. Из них выбираем только те, которые содержат слово tcpdump. Такимо образом находим полную команду, которая выполнялась в консоли.
![image](https://habrastorage.org/webt/i-/_a/hc/i-_ahc39k0jrhxqoyxjmr-d21j0.png)
В команде видим адрес и порт.
Command & Control — level 6
![image](https://habrastorage.org/webt/tz/j2/-v/tzj2-v6ssxeleusbbuzh-n5usfi.png)
Нас просят найти домен C&C сервера. Давайте разберемся уже с самим вредоносным ПО. Сдампим процесс.
![image](https://habrastorage.org/webt/xy/zu/u-/xyzuu-jvvwd7whmmpvjrvksctoa.png)
В VirusTotal есть аналитика, которая покажет домены.
![image](https://habrastorage.org/webt/kk/dh/f2/kkdhf28uhf9pck1qjmuqbrza3ru.png)
По названию мы сразу поймем нужный.
Дальше больше и сложнее… Вы можете присоединиться к нам в Telegram. Там можете предлагать свои темы и участвовать в голосовании на выбор темы для следующих статей.
yurybx
Вопрос по заданию «Active Directory — GPO». Правильно ли я понимаю, что получение пароля возможно только в случае использования SMB не выше второй версии?
RalfHacker Автор
Для просмотра файла Group.xml нужен доступ к SYSVOL…
![image](https://habrastorage.org/webt/kp/t6/-z/kpt6-zesdebluo8iyn22lubussg.png)