Уроки форензики. Извлекаем артефакты из дампа памяти сервера

Содержание статьи

  • Используемые утилиты
  • Исследование образа памяти
  • Выводы

Ког­да зло­умыш­ленни­ки ата­куют сеть пред­при­ятия, у спе­циалис­тов по информа­цион­ной безопас­ности зачас­тую оста­ется не так уж и мно­го матери­ала для иссле­дова­ний — нап­ример, толь­ко образ памяти ском­про­мети­рован­ного сер­вера. Подоб­ную ситу­ацию опи­сыва­ет задание BSidesJeddah-Part2 с ресур­са CyberDefenders, которое мы сегод­ня раз­берем.

На­ша задача — выявить при­чины взло­ма веб‑сер­виса, раз­верну­того на Oracle WebLogic Server, и научить­ся извле­кать основные арте­фак­ты из обра­за опе­ратив­ной памяти Windows.

По сце­нарию устрой­ство монито­рин­га сетевой безопас­ности зафик­сирова­ло подоз­ритель­ный тра­фик, исхо­дящий от одно­го из веб‑сер­веров орга­низа­ции. Мы дол­жны про­ана­лизи­ровать образ памяти сер­вера и вос­ста­новить кар­тину взло­ма информа­цион­ного ресур­са.

 

Используемые утилиты

  • Volatility Framework 2.6.1 — инс­тру­мент, реали­зован­ный на Python вер­сии 2 и пред­назна­чен­ный для извле­чения арте­фак­тов из образцов энер­гозави­симой памяти.
  • Volatility 3 — обновлен­ный инс­тру­мент для извле­чения арте­фак­тов, раз­работан­ный на Python 3.
  • Заг­рузим файл ар­хива с арте­фак­тами, извле­чем из него файл memory.mem (SHA256:5b3b1e1c92ddb1c128eca0fa8c917c16c275ad4c95b19915a288a745f9960f39) и прис­тупим к иссле­дова­нию.

     

    Исследование образа памяти

    При работе с этим обра­зом мы будем поль­зовать­ся фрей­мвор­ком Volatility вер­сий 2 и 3. Их основное раз­личие опи­сано в до­кумен­тации. Удобс­тво работы с треть­ей вер­сией зак­люча­ется в том, что она не исполь­зует про­фили опе­раци­онной сис­темы, а уме­ет опре­делять их на лету, с помощью таб­лиц сим­волов Windows. Но боль­шинс­тво пла­гинов раз­работа­но для вто­рой вер­сии.

    По­лучим про­филь опе­раци­онной сис­темы для работы с ути­литой Volatility 2.

    python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem imageinfo

    Про­филь опе­раци­онной сис­темы — Win2016x64_14393.

    Преж­де чем мы прис­тупим к ана­лизу арте­фак­тов, необ­ходимо понять, с какой сис­темой мы работа­ем. Для это­го получим вер­сию опе­раци­онной сис­темы, имя компь­юте­ра, а так­же сетевой адрес. Про­бежим­ся по клю­чам реес­тра с исполь­зовани­ем пла­гина printkey.

    python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "ControlSet001ControlComputerNameComputerName"

    Имя компь­юте­ра

    Имя компь­юте­ра — WIN-8QOTRH7EMHC.

    python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -o 0xffff808fe7e41000 -K "ControlSet001ServicesTcpipParametersInterfaces"

    Спи­сок интерфей­сов

    Мы получи­ли спи­сок иден­тифика­торов сетевых интерфей­сов. Про­верим каж­дый из них.

    python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -o 0xffff808fe7e41000 -K "ControlSet001ServicesTcpipParametersInterfaces{792f6020-c342-4520-922a-542fbfccc4b6}"

    Се­тевой адрес сис­темы

    Се­тевой адрес компь­юте­ра — 192.168.144.131, IP-адрес выда­ется DHCP-сер­вером 192.168.144.254.

    Те­перь получим информа­цию о вер­сии опе­раци­онной сис­темы.

    python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "MicrosoftWindows NTCurrentVersion"

    Вер­сия опе­раци­онной сис­темы

    Вер­сия опе­раци­онной сис­темы — Windows Server 2016 Standard Evaluation.

    По­лучим вре­мя, которое было зафик­сирова­но в момент сня­тия обра­за опе­ратив­ной памяти. Для это­го вос­поль­зуем­ся пла­гином windows.info ути­литы Volatility 3.

    python3 vol.py -f c63-bsidesjeddah-mem/memory.mem windows.info

    Сис­темное вре­мя — 2021-08-06 16:13:23.

    Да­лее попыта­емся вос­ста­новить дей­ствия поль­зовате­ля в сис­теме. Про­ана­лизи­руем исто­рию бра­узе­ра, в дан­ном слу­чае Internet Explorer. Для это­го вос­поль­зуем­ся пла­гином iehistory.

    python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 iehistory > c63-bsidesjeddah-mem/iehistory.txt

    Ис­тория iehistory

    Нам уда­лось выяс­нить, что 6 августа 2021 года поль­зователь Administrator посетил стра­ницу news.google.com.

    Те­перь прис­тупим к поис­ку вре­донос­ной активнос­ти. Для это­го нам необ­ходимо про­ана­лизи­ровать про­цес­сы, сетевой тра­фик, коман­ды запус­ка исполня­емых фай­лов, а так­же иссле­довать стро­ки про­цес­сов.

    Источник: xakep.ru

    Ответить

    Ваш адрес email не будет опубликован. Обязательные поля помечены *