Уроки форензики. Расследуем кибератаку через соцсеть и раскрываем маскировку файла

Содержание статьи

• Вредоносная ссылка
• Маскировка
• Просмотр действий пользователя
• Выводы

Се­год­ня мы с тобой будем упражнять­ся в рас­сле­дова­нии ата­ки, свя­зан­ной с уста­нов­кой замас­кирован­ного ПО, которое зло­деи рас­простра­няли через соци­аль­ную сеть. Поуп­ражня­емся в циф­ровой кри­мина­лис­тике и пос­мотрим, как мож­но уско­рить и облегчить работу.

Ре­шать мы будем лабора­тор­ную работу Detroit becomes Human из раз­дела Sherlocks на популяр­ном обу­чающем ресур­се Hack The Box.

Опи­сание лабора­тор­ной работы гла­сит, что поль­зователь Alonzo Spire инте­ресо­вал­ся воз­можнос­тями искусс­твен­ного интеллек­та и хотел узнать, не может ли ИИ помочь ему в пов­седнев­ных задачах. В соци­аль­ных сетях он нат­кнул­ся на пост об искусс­твен­ном интеллек­те Google Gemini. Недол­го думая, он ска­чал инс­тру­мент, который рек­ламиро­вал­ся в пос­те, но пос­ле уста­нов­ки не смог най­ти его в сво­ей сис­теме, что выз­вало подоз­рения.

Нам поруче­но помочь инже­неру, про­водя­щему ана­лиз, най­ти источник это­го стран­ного инци­ден­та.

Фай­лы лабора­тор­ной работы пред­став­ляют собой сбор­ку Kroll Artifact Parser and Extractor (KAPE), которой мы вос­поль­зуем­ся для получе­ния кри­мина­лис­тичес­ких арте­фак­тов.

Вредоносная ссылка

Нач­нем рас­сле­дова­ние с зацеп­ки, дан­ной в опи­сании. Пост в соци­аль­ной сети был отправ­ной точ­кой ата­ки.

Сре­ди пре­дос­тавлен­ных папок есть вот такая:

TriageCUsersalonzo.spireAppDataLocalMicrosoftEdgeUser DataDefault

В ней лежит файл базы дан­ных SQLite History. Откро­ем файл в DB Browser и выберем таб­лицу urls.

Здесь видим ссыл­ку на исполь­зуемую соци­аль­ную сеть и на пост. В стол­бце last_visit_time ука­зано вре­мя, ког­да поль­зователь посещал URL. Оно пред­став­лено в фор­мате WebKit/Chrome, который мож­но кон­верти­ровать в стан­дар­тный фор­мат на сай­те Epoch Converter.

В таб­лице downloads узна­ем путь к ска­чан­ному фай­лу и его наз­вание. Обра­тим вни­мание на иден­тифика­тор заг­рузки 5 и запом­ним его.

Таб­лица dowloads_url_chains помога­ет понять, что перед ска­чива­нием фай­ла RAR (иден­тифика­тор 5) редирект про­изо­шел триж­ды. Файл был ска­чан с URL, который ука­зан в пос­ледней стро­ке.

Классификация

В мат­рице MITRE ATT&CK эта под­техни­ка име­ет ID T1204.001 User Execution: Malicious Link. Она зак­люча­ется в том, что поль­зовате­ли могут стать жер­твой соци­аль­ной инже­нерии, в том чис­ле через соци­аль­ные сети. При этом при перехо­де по ссыл­ке ска­чива­ется вре­донос­ный файл или выпол­няет­ся вре­донос­ный код.

Маскировка

Жур­нал Application полезен для отсле­жива­ния событий уста­нов­ки ПО. Зная при­мер­ное вре­мя уста­нов­ки или исполь­зуя филь­тр по наз­ванию, вве­дя сло­во Gemini, обна­ружим событие MsiInstaller с иден­тифика­тором 1042, которое ука­зыва­ет на завер­шение про­цес­са уста­нов­ки MSI. Это событие поможет опре­делить точ­ное вре­мя успешной уста­нов­ки пакета в сис­тему.

Источник: xakep.ru