Cyberdefenders Práctica GrrCon, TeamSpy - Digital Forensics

Escenario

Un empleado informó que su máquina comenzó a funcionar de manera extraña después de recibir un correo electrónico sospechoso con un archivo adjunto. El equipo de respuesta a incidentes capturó un par de volcados de memoria de las máquinas sospechosas para una inspección más detallada. ¡Analice los volcados de memoria y ayude al equipo de IR a descubrir qué sucedió!

Preguntas

Archivo/ecorpoffice ¿Cuál es el PID con el que se ejecuta el archivo malicioso?

El PID del archivo que ejecuta el archivo malicioso es 1364, la información se obtuvo al ejecutar un a análisis con volatility y su plugin pslist, en el se puede observar un proceso llamado SkypeC2AutoUpd el cual no se reconoce como un proceso legitimo.

Al realizar un volcado del proceso 1364 y luego enviar el hash del archivo, Virustotal lo detecto como virus.

Por último, el archivo malicioso no se ejecuta de un contenedor legítimo, es decir, desde la ruta de instalción de Skype predeterminada por el fabricante. En este caso el proceso se está ejecutando de la carpeta temporal del usuario PHILLI.

Archivo/ecorpoffice ¿Cuál es la dirección IP del servidor C2?

La Dirección IP del servidor C2 es 54.174.131.235 para determinar la dirección IP del servidor C2 se realizo un volcado de archivos de la imagen forense el cual contene un archivo packet.pcap el cual se analiza con la herramienta t-shark.

Archivo/ecorpoffice ¿Cuál es la versión de Teamviewer utilizada por el archivo malicioso?

La versión de TeamViewer utilizada por el archivo malicioso es 0.2.2.2, como se puede observar en las comunicaciones realizadas por el proceso 1364 al extraer las strings (cadenas de caracteres). del proceso 1364.

Archivo/ecorpoffice ¿Qué contraseña usó el archivo malicioso para habilitar el acesso remoto al sistema?

La password utilizada por el archivo malicioso para habilitar el acceso remoto al sistema es P59fS93m. La evidencia se obtuvo analizando los string (cadenas de caracteres).

Archivo/ecorpoffice ¿Cuál fue la dirección de correo electronico del remitente que entrego el correo electronico de phishing?

El correo electrónico del remitente es karenmiles@t-online.de esta información se obtuvo al hacer la extracción el proceso 2692 el cual se ejecuta OUTLOOK.EXE, se extrajo los strings del proceso 2692 donde se obtuvo el correo electrónico del remitente.

 Archivo/ecorpoffice ¿Cuál es el hash MD5 del documento malicioso?

El hash MD5 es c2dbf24a0dc7276a71dd0824647535c9 se logró obtener este hallazgo con el siguiente proceso. Primero se hizo una búsqueda de los archivos .pst de la imagen forense la herramienta utilizada fue volatility con el comando filescan.

 

Obteniendo los siguientes resultados:

Luego se realizo el volacado del archivo en el offset 0x000000007fd38c80 con la herramienta volatility con el siguiente comando.

Luego se analizó el directorio resultante del volcado de memoria con el siguiente comando.

Dando como resultado el directorio file/Inbox/Message00011/attachments donde se ubica el archivo malicioso y se procedió a calcular su hash MD5.

Archivo/ecorpoffice ¿Cuál es la dirección de la billetera de bitcoin que solicitó el ransomware?

La billetera de bitcoin que solicito el ransomware es 25UMDkGKBe484WSj5Qd8DhK6xkMUzQFydY se obtuvo esta evidencia realizando una búsqueda recursiva en el directorio .pst anteriormente obtenido.

Archivo/ecorpoffice ¿Cuál es el ID que el archivo malicioso le da al sistema para el acceso remoto?

El ID que el archivo malicioso le da al sistema remoto es 528 812 561, la evidencia se obtuvo realizando un análisis de strings al volcaldo del proceso 1364.dmp

Obteniendo como resultado el ID.

Archivo/ecorpoffice ¿Cuál es la dirección IPv4 que el atacante conectó por última vez al sistema con la herramienta de acceso remoto?

La última vez que se conectó el atacante al sistema con la herramienta de acceso, con dirección IPv4 fue 31.6.13.155.

Archivo/ecorpoffice ¿Qué función pública en el documento de Word devuelve la cadena de comando completa que finalmente se ejecuta en el sistema?

La función que devuelve la cadena de comando completa es  la función UsoJar

Para obtener esta evidencia se utilizó la herramienta Olevba para extraer la macro del documento Word y se identificó la función que devuelve la cadena de comando que ejecuta el sistema.

Archivo/ecorpwin7 ¿Cuál es el hash MD5 del documento malicioso?

Para determinar el hash MD5 primero se debe eliminar los bytes NULL de archivo (00 00 00 …) y luego calcular el hash. En este caso el hash MD5 es 00e4136876bf4c1069ab9c4fe40ed56f

Archivo/ecorpwin7 ¿Cuál es el nombre común del archivo malicioso que se carga?

El nombre común del archivo malicioso es Plugx

Archivo/ecorpwin7 ¿Qué contraseña usa el atacante para preparar el archivo comprimido para exfiltrar?

La password usada por el atacante es password1234, esta evidencia se obtuvo al una extracción de cadenas desde el volcado de memoria.

Archivo/ecorpwin7 ¿Cuál es la dirección IP del servidor C2 para el archivo malicioso?

La dirección IP del servidor C2 es 52.90.110.169, la evidencia se obtuvo al realizar un proceso de calving al volcado del proceso 2432 con la herramienta Bulk Extractor el cual se obtuvo un archivo packet.pcap y se analizó el archivo con la herramienta T-Shark.

Archivo/ecorpwin7 ¿Cuál es la dirección de correo electrónico que envió el correo electrónico de phishing?

La dirección de correo electrónico que envió el correo electrónico de phishing es lloydchung@allsafecybersec.com, esta evidencia se extrajo analizando las cadenas de texto el archivo .pst.

Archivo/ecorpwin7 ¿Cuál es el nombre del paquete deb que el atacante preparó para infectar los servidores de monedas electrónicas?

El nombre del paquete .deb que el atacante preparó para infectar los servidores de monedas electrónica es linuxav.deb, esta evidencia se extrajo analizando las cadenas de texto del volcado del proceso 2434.