Уроки форензики. Расследуем кражу паролей KeePass на примере HTB Hunter

Содержание статьи

• Собираем информацию о системе
• winver
• networklist
• compname
• ips
• Анализируем файл PCAP
• FTP
• SMB
• RDP
• Анализируем журналы событий Windows
• PsExec
• Meterpreter
• Загружаем PowerView
• RDP
• Артефакты выполнения процессов
• SRUM
• Prefetch
• Shimcache и Amcache
• Артефакты файловой и операционной системы
• $MFT
• Windows Search Database
• Артефакты используемых приложений и утилит
• FileZilla
• Certutil
• История PowerShell
• KeePass CVE-2023-32784
• Выводы

Се­год­ня в рам­ках рас­сле­дова­ния инци­ден­та мы с тобой про­экс­плу­ати­руем уяз­вимость в KeePass, най­ден­ную в 2023 году, а затем пос­мотрим, как исполь­зовать инс­тру­мент ZUI для ана­лиза арте­фак­тов.

Нам пред­сто­ит прой­ти задание Hunter c ресур­са Hack The Box Sherlocks. Его уро­вень слож­ности — «безум­ный». Мы не будем давать готовых отве­тов на воп­росы в задании. Вмес­то это­го сос­редото­чим­ся на про­цес­се рас­сле­дова­ния, что­бы ты мог при желании пов­торить его сам и под­смот­реть в эту статью, если вдруг зай­дешь в тупик.

В опи­сании к инци­ден­ту ска­зано:

• дамп тра­фика;
• ар­хив с арте­фак­тами хос­та, соб­ранный ути­литой KAPE.

В про­цес­се ана­лиза запол­ним кар­точку инци­ден­та и сос­тавим Incident Response Plan (IRP) в IRIS.

Собираем информацию о системе

Для получе­ния информа­ции об име­ни ана­лизи­руемо­го хос­та вос­поль­зуем­ся ути­литой Hayabusa:

./hayabusa computer-metrics --rules-config ../config/ -d ~/C/

Ути­лита про­ана­лизи­рует события жур­налов Windows и пред­ложит нес­коль­ко вари­антов, с час­тотой их упо­мина­ния:

• Forela-Wkstn002.forela.local — 97 385 упо­мина­ний;
• DESKTOP-H72HB4B — 6861 упо­мина­ние;
• Forela-Wkstn002 — 6087 упо­мина­ний;
• FORELA-WKSTN002 — 4 упо­мина­ния.

Мо­жем пред­положить, что имя DESKTOP-H72HB4B было до вво­да машины в домен.

Боль­ше информа­ции мы получим из реес­тра, для это­го вос­поль­зуем­ся ути­литой RegRipper3.0 и пла­гина­ми.

winver

HKLMSOFTWAREMicrosoftWindows NTCurrentVersion

regripper -p winver -r CONFIG

ProductName Windows 10 Pro N ReleaseID 2009 BuildLab 19041.vb_release.191206-1406 BuildLabEx 19041.1.amd64fre.vb_release.191206-1406 CompositionEditionID EnterpriseN RegisteredOrganization RegisteredOwner CyberJungle InstallDate 2023-03-07 13:14:17Z InstallTime 2023-03-07 13:14:17Z  

networklist

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfilesProfileName

regripper -p networklist -r CONFIG

Network 2 Key LastWrite : 2023-06-21 11:17:27Z DateLastConnected: 2023-06-21 16:17:27 DateCreated : 2023-04-12 21:20:50 DefaultGatewayMac: 00-50-56-EE-C1-2F Type : wired forela.local Key LastWrite : 2023-06-21 11:47:27Z DateLastConnected: 2023-06-21 16:47:27 DateCreated : 2023-03-08 03:25:47 DefaultGatewayMac: 00-50-56-EB-C1-1A Type : wired Network Key LastWrite : 2023-04-12 09:16:14Z DateLastConnected: 2023-04-12 14:16:14 DateCreated : 2023-03-07 17:51:47 DefaultGatewayMac: 00-50-56-EB-C1-1A Type : wired Domain/IP forela.local  

compname

HKLMSYSTEMCurrentControlSetControlComputerName

regripper -p compname -r SYSTEM

ComputerName = forela-wkstn002 TCP/IP Hostname = Forela-Wkstn002  

ips

HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfaces

IPAddress 172.17.79.131

• до­мен — forela.local;
• хост — forela-wkstn002;
• IP — 172.17.79.131.

До­бав­ляем все най­ден­ное в IRIS.

Анализируем файл PCAP

Ана­лиз арте­фак­тов хос­та, безус­ловно, дает огромное количес­тво информа­ции о про­изо­шед­ших событи­ях, но я начал с прос­мотра тра­фика, что­бы понять, какие вза­имо­дей­ствия были с ана­лизи­руемой машиной.

Для ана­лиза PCAP-фай­ла я исполь­зовал ZUI и Wireshark.

Под­робнее о ZUI читай в статье «ZUI. Ана­лизи­руем тра­фик с помощью нового быс­тро­го инс­тру­мен­та».

Нач­нем с алер­тов сиг­натур опен­сор­сной IDS Suricata.