Уроки форензики. Расследуем киберинцидент HawkEye

Содержание статьи

• Инструментарий
• Анализ сетевого трафика
• Выводы

Се­год­ня мы с тобой поп­ракти­куем­ся в рас­сле­дова­нии инци­ден­тов и решим лабора­тор­ную работу HawkEye с ресур­са CyberDefenders. Научим­ся раз­бирать сетевой тра­фик, извле­кать арте­фак­ты и вос­ста­новим кар­тину взло­ма информа­цион­ного ресур­са.

Сог­ласно сце­нарию бух­галтер орга­низа­ции получил элек­трон­ное пись­мо, содер­жащее ссыл­ку для ска­чива­ния сче­та. Вско­ре пос­ле откры­тия пись­ма был обна­ружен подоз­ритель­ный сетевой тра­фик. Наша задача в качес­тве ана­лити­ка SOC изу­чить этот тра­фик, выявить вре­донос­ный файл и обна­ружить попыт­ки эксфиль­тра­ции дан­ных.

По резуль­татам решения кей­са необ­ходимо отве­тить на ряд воп­росов, но я покажу сам про­цесс решения, а не отве­ты на них. Ты можешь сам пов­торить работу и прой­ти опрос для зак­репле­ния зна­ний.

Пер­вым делом ска­чаем файл ар­хива с сетевым тра­фиком и прис­тупим к его иссле­дова­нию.

Инструментарий

Анализ сетевого трафика

Пос­ле рас­паков­ки архи­ва с задани­ем мы получим файл сетево­го тра­фика с рас­ширени­ем .pcap. Откро­ем его в Wireshark и уви­дим ста­тис­тичес­кую информа­цию о фай­ле зах­вата. Для это­го перехо­ди на вклад­ку «Ста­тис­тика → Свой­ства фай­ла Зах­вата».

Ста­тис­тика фай­ла зах­вата

Вре­мя зах­вата пер­вого пакета — 2019-04-10 20:37:07 UTC, вре­мя зах­вата пос­ледне­го пакета — 2019-04-11 21:40:48, общее вре­мя записи сетево­го тра­фика — 01:03:41. Количес­тво пакетов в фай­ле зах­вата — 4003.

По­лучим ста­тис­тику о конеч­ных точ­ках, которые при­сутс­тву­ют в сетевом тра­фике. Заходим на вклад­ку «Ста­тис­тика → Конеч­ные точ­ки».

Спи­сок конеч­ных точек на уров­не про­токо­ла Ethernet

Спи­сок конеч­ные точек на уров­не IPv4

Ак­тивный компь­ютер име­ет MAC-адрес 00:08:02:1c:47:ae и IP-адрес 10.4.10.132. В фай­ле зах­вата учас­тву­ет три компь­юте­ра орга­низа­ции с мас­кой 24.

Оп­ределим про­изво­дите­ля сетевой кар­ты по MAC-адре­су, для это­го вос­поль­зуем­ся сер­висом networkcenter.info. Про­изво­дитель сетевой кар­ты — Hewlett Packard.

Да­лее заг­рузим файл в ути­литу NetworkMiner и получим информа­цию о хос­те бух­галте­ра. Вво­дим IP 10.4.10.132 и имя компь­юте­ра BEIJING-5CD1-PC.

Ин­форма­ция о ском­про­мети­рован­ном хос­те

Пос­коль­ку по сце­нарию бух­галтер перешел по ссыл­ке и заг­рузил исполня­емый файл, отфиль­тру­ем сетевой тра­фик по про­токо­лу DNS и най­дем все зап­росы доменов.

Ин­форма­ция о зап­рашива­емых доменах

В пакете 204 обна­ружен зап­рос к DNS-сер­веру орга­низа­ции с IP-адре­сом 10.4.10.4. Получен адрес домен­ного име­ни proforma-invoices.com. Про­веря­ем этот домен на VirusTotal и обна­ружи­ваем, что пять анти­виру­сов счи­тают его вре­донос­ным. Получа­ется, что ком­про­мета­ция сети про­изош­ла в 20:37:53 10.04.2019.

Источник: xakep.ru