- Регистрация
- 3 Фев 2025
- Сообщения
- 58
- Реакции
- 12
Вредоносная ссылка
Сегодня мы с тобой будем упражняться в расследовании атаки, связанной с установкой замаскированного ПО, которое злодеи распространяли через социальную сеть.
Поупражняемся в цифровой криминалистике и посмотрим, как можно ускорить и облегчить работу.
Решать мы будем лабораторную работу Detroit becomes Human из раздела Sherlocks на популярном обучающем ресурсе Hack The Box.
Описание лабораторной работы гласит, что пользователь Alonzo Spire интересовался возможностями искусственного интеллекта и хотел узнать, не может ли ИИ помочь ему в повседневных задачах.
В социальных сетях он наткнулся на пост об искусственном интеллекте Google Gemini. Недолго думая, он скачал инструмент, который рекламировался в посте, но после установки не смог найти его в своей системе, что вызвало подозрения.
Нам поручено помочь инженеру, проводящему анализ, найти источник этого странного инцидента.
Файлы лабораторной работы представляют собой сборку Kroll Artifact Parser and Extractor (KAPE), которой мы воспользуемся для получения криминалистических артефактов.
Начнем расследование с зацепки, данной в описании. Пост в социальной сети был отправной точкой атаки.
Среди предоставленных папок есть вот такая:
Код:
Triage\C\Users\alonzo.spire\AppData\Local\Microsoft\Edge\User Data\DefaultВ ней лежит файл базы данных SQLite History. Откроем файл в DB Browser и выберем таблицу urls.
Вы должны быть зарегистрированы для просмотра вложений
Здесь видим ссылку на используемую социальную сеть и на пост. В столбце last_visit_time указано время, когда пользователь посещал URL. Оно представлено в формате WebKit/Chrome,
который можно конвертировать в стандартный формат на сайте
Вы должны быть зарегистрированы для просмотра ссылок
.В таблице downloads узнаем путь к скачанному файлу и его название. Обратим внимание на идентификатор загрузки 5 и запомним его.
Вы должны быть зарегистрированы для просмотра вложений
Таблица dowloads_url_chains помогает понять, что перед скачиванием файла RAR (идентификатор 5) редирект произошел трижды. Файл был скачан с URL, который указан в последней строке.
Вы должны быть зарегистрированы для просмотра вложений
Маскировка
Журнал Application полезен для отслеживания событий установки ПО. Зная примерное время установки или используя фильтр по названию, введя слово Gemini,
обнаружим событие MsiInstaller с идентификатором 1042, которое указывает на завершение процесса установки MSI. Это событие поможет определить точное время успешной установки пакета в систему.
Вы должны быть зарегистрированы для просмотра вложений
В этом же журнале немного позже замечаем событие с идентификатором 1033, которое гласит об успешной установке продукта и раскрывает его версию.
Вы должны быть зарегистрированы для просмотра вложений
Чтобы найти установленную вредоносную программу, обратимся к предоставленным нам журналам PowerShell. Изучая логи за интересующий нас период, почти сразу замечаем подозрительный скрипт.
Вы должны быть зарегистрированы для просмотра вложений
Злоумышленник поместил скрипт ru.ps1 в папку C:\Program Files (x86)\Google\Install, чтобы замаскировать его под легитимное ПО и избежать обнаружения.
Чтобы продолжить расследование, загрузим предоставленный файл $MFT в MFTExplorer. Смотрим записи MFT в известной промежуточной директории C:\Program Files (x86)\Google\Install
и находим там файл install.cmd, который отвечает за запуск вредоносного ПО.
Вы должны быть зарегистрированы для просмотра вложений
Давай изучим этот install.cmd. Можем прямо в MFTExplorer посмотреть, как этот файл выглядит в виде ASCII, и сразу замечаем команду. Раньше мы видели ту же команду в логах PowerShell.
Среди собранных артефактов есть еще один подозрительный каталог:
Код:
C:\Program Files (x86)\Google\Install\nmmhkkegccagdldgiimedpic
Вы должны быть зарегистрированы для просмотра вложений
Просмотреть его содержимое можно чуть ниже в том же разделе Overview. В настоящем расследовании его содержимое могло бы потом заинтересовать команду, отвечающую за реверс‑инжиниринг и анализ вредоносных файлов.
Вы должны быть зарегистрированы для просмотра вложений
Просмотр действий пользователя
Известно, что пользователь пытался найти в проводнике установленное приложение. Будем использовать утилиту RegRipper, которая позволяет анализировать файлы реестра Windows.
Возьмем файл пользователя NTUSER.DAT, в котором хранятся настройки реестра, специфичные для пользователя, и плагин WordWheelQuery для извлечения самых последних поисковых запросов.
Код:
rip.exe -r Путь_к_папке_с_заданием\Triage\C\Users\alonzo.spire\NTUSER.DAT -p wordwheelquery
Вы должны быть зарегистрированы для просмотра вложений
После того как пользователь Alonzo Spire не нашел в своей системе никакого ИИ‑помощника, он удалил загруженный файл. Уточнить время этого действия можно несколькими способами, рассмотрим пару из них.
Первый способ — воспользоваться тем же MFTExplorer и проверить папку $Recycle.Bin. Изучив записи в корзине, обнаружим удаленный файл .rar, в котором без распаковки можно найти строку, выдающую связь с AI Gemini.
Такой метод предпочтительнее, поскольку с большей вероятностью подтверждает подлинность данных.
Вы должны быть зарегистрированы для просмотра вложений
Второй способ предполагает использование утилиты MFTECmd.exe. Вначале преобразуем $MFT в более удобный формат CSV.
Код:
MFTECmd.exe -f "путь/к/папке/с/файлом/$MFT" --csv . --csvf mft_parsing.csvПолученный файл открываем при помощи другого инструмента — Timeline Explorer. В поле Extension ставим фильтр, используя расширение .rar, и соотносим время с таймлайном инцидента.
Вы должны быть зарегистрированы для просмотра вложений
Попробуем найти хеш MD5 обнаруженного установщика в открытых источниках. Нам известно имя вредоносного файла:
Код:
Google AI Gemini Ultra For PC V1.0.1.msiНа сайте any.run находим всю информацию об этом установщике.
Вы должны быть зарегистрированы для просмотра вложений
Выводы
Мы рассмотрели инцидент, связанный с распространением вредоносного ПО при помощи социальной инженерии — а именно вредоносной ссылки.Далее нам удалось разобрать цепочку доставки вируса на машину жертвы и узнать, как именно он маскировался. Следом мы попрактиковались в сборе необходимых
для отчета индикаторов компрометации при помощи утилит MFTExplorer, MFTECmd, Timeline Explorer и RegRipper, которые сильно упрощают расследование.