Escenario
El empleado de una empresa se unió a un sorteo de iPhone falso. Nuestro equipo tomó una imagen de disco del sistema del empleado para su posterior análisis. Como analista de seguridad, tiene la tarea de identificar cómo se comprometió el sistema.
Preguntas
¿Cuál es el nombre de host de la máquina víctima?
El nombre de host de la máquina víctima es WIN-NF3JQEU4G0T, para obtener esta información se utilizaron dos herramientas FTK Imager y Registry Viewer. El primero se utilizó para extraer de la imagen forense el hive SYSTEM y con Registre Viewer para analizar el Hive y obtener la evidencia.
La aplicación de mensajería instalada es WhatsApp. Para obtener esta evidecia se utilizó la herramamienta FTK Imager. Al analizar la carpeta AppData y subcarpeta Local se puede observar que la aplicación instalada es WhatsApp.
Nota: La carpeta AppData es un directorio oculto del sistema Operativo de Windows y guarda mucha información de aplicaciones instaladas en un sistema Windows. Por lo tanto, es un artefacto de análisis forense.
El atacante engañó a la víctima para que descargara un documento malicioso. Proporcione la URL de descarga completa.
La URL de descarga es http://appIe.com/IPhone-Winners.doc. La evidencia se obtuvo con las Herramienta FTK Imager y Whatapp Viewer. Con FTK Imager se extrajo la base de datos llamada msgstore.db, esta base de datos almacena los mensajes enviados y recibidos en WhatsApp. WhatsApp Viewer, por otro lado, permite examinar la base de datos de WhatsApp de una forma amigable para el investigador.
El stream más alto 10, la evidencia se obtuvo con la herramienta oledump.
La macro ejecutó un programa. ¿Proporcione el nombre del programa?
El nombre del programa que ejecutó la macro es powershell. La evidencia se obtuvo al analizar el documento IPhone-Winners.doc con la herramienta olevba, y el parámetro --deobf.
La URL de descarga completa es http://appIe.com/Iphone.exe. La evidencia se obtuvo con la herramienta oledump y los comandos de Linux cat y base64 -d.
El archivo malicioso se descargó en la siguiente ruta C:\Temp\IPhone.exe. La evidencia se obtuvo en la recolección de la evidencia de la pregunta anterior. Observar la cadena "-OutFile c:\Temp\IPhone.exe" que indica donde se descargó el archivo malicioso.
El Framework utilizado para crear el malware es Metasploit FrameWork. Para obtener esta evidencia se envió el archivo .doc a Virustotal, donde, el antivirus de Microsoft lo detecto como malware categorizado como troyano.
Luego, realice una búsqueda en Internet para obtener CVE (Common Vulnerabilities and Exposures) el CVE se obtuvo de la página de Microsoft MSRC.
¿Cuál es la dirección IP del atacante?
El obsequio falso utilizó una página de inicio de sesión para recopilar información del usuario. ¿Proporcionar la URL completa de la página de inicio de sesión?
La dirección URL es http://appie.competitions.com/login.php. La evidencia se obtuvo al analizar el archivo places.sqlite del directorio Profile de Firefox.
¿Cuál es la contraseña que el usuario envió a la página de inicio de sesión?
La contraseña de inicio de sesión es GacsriicUZMY4xiAF4yl . La evidecia se obtuvo con la herramienta FTK Imager y PasswordFox. Primero se exporto el directorio Profile y luego con la herramienta PasswordFox se obtuvo la contraseña utilizada.
Comentarios
Publicar un comentario