Уроки форензики. Ищем следы атаки в RDP Bitmap Cache

Содержание статьи

• OpTinselTrace24-1: Sneaky Cookies
• Фишинг
• Применение BITS
• Сессия RDP
• Выводы

Се­год­ня на при­мере рас­сле­дова­ния инци­ден­та я покажу, как иног­да мож­но най­ти ули­ки в кеше RDP. Изу­чив закеши­рован­ные дан­ные уда­лен­ного гра­фичес­кого под­клю­чения, мы бук­валь­но уви­дим, что делал зло­умыш­ленник.

Уп­ражнять­ся мы будем на лабора­тор­ной работе OpTinselTrace24-1: Sneaky Cookies из раз­дела Sherlocks популяр­ного обу­чающе­го ресур­са Hack The Box.

OpTinselTrace24-1: Sneaky Cookies

Из опи­сания лабы узна­ём, что мы будем работать со ском­про­мети­рован­ной учет­ной записью поль­зовате­ля Bingle Jollybeard, который пытал­ся нас­тро­ить свою сис­тему для уда­лен­ного дос­тупа.

Нам пре­дос­тавле­ны дан­ные дис­ка C, на котором есть учет­ка поль­зовате­ля, логи и prefetch-фай­лы.

Для начала, что­бы облегчить себе задачу, про­гоним пап­ку C через KAPE.

Kroll Artifact Parser and Extractor (KAPE) — это мощ­ная ути­лита для циф­ровой кри­мина­лис­тики. Она поз­воля­ет быс­тро собирать и ана­лизи­ровать циф­ровые арте­фак­ты с устрой­ств. Ее автор Эрик Цим­мерман — извес­тный эксперт в области DFIR. KAPE опти­мизи­рует про­цес­сы сбо­ра дан­ных, поз­воляя находить кри­тичес­ки важ­ные арте­фак­ты за счи­таные минуты. Инс­тру­мент под­держи­вает гиб­кую нас­трой­ку с помощью модулей для сбо­ра (Targets) и ана­лиза (Modules), что дела­ет его уни­вер­саль­ным и удоб­ным для рас­сле­дова­ния инци­ден­тов, про­вер­ки на ком­про­мета­цию и ана­лиза подоз­ритель­ной активнос­ти. KAPE широко при­меня­ется в судеб­ной экспер­тизе, кор­поратив­ной безопас­ности и реаги­рова­нии на инци­ден­ты бла­года­ря сво­ей ско­рос­ти, точ­ности и спо­соб­ности обра­баты­вать огромные объ­емы дан­ных.

kape.exe --msource "C:путь к папкеTRIAGE-L3-BELLS" --module !EZParser --mdest "С:путь к папке с результатом" --trace --debug

KAPE соб­рал нам все необ­ходимые для рас­сле­дова­ния дан­ные в удоб­ном фор­мате. Он рас­парсил все логи, фай­лы пред­варитель­ной заг­рузки и некото­рые кус­ты реес­тра. Заод­но кон­верти­ровал их в фор­мат CSV.

Даль­ше в статье я буду парал­лель­но при­водить при­меры исполь­зования дру­гих инс­тру­мен­тов на слу­чай, если ты захочешь пов­торить иссле­дова­ние без KAPE.

Фишинг

Что­бы отве­тить на пер­вый воп­рос лабора­тор­ной работы, нам нуж­но най­ти подоз­ритель­ные фай­лы в поль­зователь­ском катало­ге. Давай обра­тим­ся к исходной пап­ке C, где в дирек­тории Documents поль­зовате­ля Bingle Jollybeard лежит файл christmas_slab.pdf.

По­доз­ритель­но здесь лишь необыч­ное отоб­ражение ярлы­ка для фор­мата PDF. При деталь­ном изу­чении ока­зыва­ется, что это не PDF, а ярлык (.lnk).

Зло­умыш­ленник исполь­зовал этот файл для фишин­га. Ссыл­ка ука­зыва­ет на такой адрес:

Здесь запус­кает­ся SSH, что­бы заг­рузить с управля­юще­го сер­вера и выпол­нить файл christmas-sale.exe.