Escenario
Un empleado informó que su máquina comenzó a actuar de manera extraña después de recibir un correo electrónico sospechoso para una actualización de seguridad. El equipo de respuesta a incidentes capturó un par de volcados de memoria de las máquinas sospechosas para una inspección más detallada. ¡Analice los volcados y ayude al equipo de IR a descubrir qué sucedió!
Preguntas
¿Qué dirección de correo electrónico engañó al empleado de la recepción para que instalara una actualización de seguridad?
La dirección de correo electrónico es th3wh1t3r0s3@gmail.com la evidencia se obtuvo con las herramientas volatili 2, Scalpel y SysInfotools OST Viewer.
Primero con Volatility se realizó un filescan al archivo Target1-1dd8701f.vmss
Segundo se extraen los archivos con el pluing dumpfiles de Volatility.
Tercero con la herramienta Scalpel se extraen los archivos outlook2.ost.dat.
Dentro de la carpeta ost-24-0 existe un 00000000.ost el cual se analiza con la herramienta SysInfotools OST Viewer.
¿Cuál es el nombre de archivo que se entregó en el correo electrónico?
El archivo que se entregó en el correo electrónico es AnyConnectInstaller.exe. La evidencia se obtuvo con las herramientas pffextract.
Luego, se obtuvo la URL de descarga del archivo.
¿Cuál es el nombre de la familia de RAT(Troyano de acceso remoto) utilizada por el atacante?
El RAT pertenece a la familia XtremeRat. que es un tipo de malware que otorga acceso y control de la máquinas afectadas.
La evidencia se obtuvo con la herramienta Volatility y Virustotal. Primero se extrajo el excutable descargado por el usuario y ejecutado con la herramienta Volatility.
Posteriormente se envía el ejecutable a Virutotal el cual lo detectoto como virus y nos da el nombre de la familia a la cual pertenece al RAT.
El malware parece estar aprovechando la inyección de procesos. ¿Cuál es el PID del proceso que se inyecta?
El PID es 2996 correspondiente al proceso iexplorer.exe. La evidencia se obtuvo con la herramienta Volatility y VirusTotal.
VirusTotal indica que hubo conexiones a varias direcciones IP.
Con Volatility analizamos esas conexiones con pluign netscan.
Como se observa en la imagen existe una conexión establecida a la dirección IP 180.76.254.120 a través del proceso iexplorer.exe.
¿Cuál es el valor único que usa el malware para mantener la persistencia después de reiniciar?
El valor utilizado es MrRobot. La persistencia se logra al cambiar una clave de registro, específicamente HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
El malware a menudo usa un valor o nombre único para garantizar que solo se ejecute una copia en el sistema. ¿Cuál es el nombre único que utiliza el malware?
El nombre único utilizado para garantizar que solo se ejecute una copia del malware en el sistema es fsociety0.dat. La evidencia se obtuvo con la herramienta Volatility y pluing handles.
Cabe mencionar, que la instrucción mutex en términos generales es utilizado por programadores para evitar la ejecución de más de una instancia de un programa.
Mutex = Mutual exclusion.
Parece que un hacker notorio comprometió esta caja antes que nuestros atacantes actuales. Nombra la película de la que es.
El nombre de la película es Hackers. Responder esta pregunta supuso un desafío debido que no hay mucha evidencia que nos pueda ayudar. Por lo tanto, comencé por explorar los usuarios del sistema, para hacer esto con la herramienta Volatility realice un filescan y luego filtre los resultados con la función grep de Linux.
Luego, realice el siguiente filtro al archivo resultante de ejecutar la instrucción anterior.
Aquí llama la atención que existe un usuario llamado zerocool. Por lo tanto, toca buscar a que película pertenece ese personaje si corresponde.
¿Cuál es el hash de contraseña NTLM para la cuenta de administrador?
Los atacantes parecen haber trasladado algunas herramientas al host de recepción comprometido. ¿Cuántas herramientas movió el atacante?
El número de herramientas es 3 estas son: getlsasrvaddr.exe, nbtscan.exe, Rar.exe y wce.exe. Esta evidencia se obtuvo con las herramientas Volatility y el pluing console.
Como se observa en la imagen se movieron 4 herramientas, pero wce.exe y getlsasrvaddr.exe hacen parte del mismo programa. como se ve en la imagen a continuación.
¿Cuál es la contraseña de la cuenta administrador local front desk?
La contraseña de la cuenta administrador local front desk es flagadmin@1234. La evidencia se obtuvo con la herramienta Volatility y el pluing console.
Los atacantes parecen haber almacenado la salida de la herramienta nbtscan.exe en un archivo de texto en un disco llamado nbs.txt. ¿Cuál es la dirección IP de la primera máquina en ese archivo?
La dirección IP de la primera máquina en este archivo es 10.1.1.2. La evidencia se obtuvo con la herramienta Volatility y el pluign mftparser.
Primero se identificó el archivo en la Master File table (MFT).
Segundo con la herramienta volatility se realizó un escaneo de archivos con el pluign filescan.
Para obtener el offset de memoria del archivo para su extracción.
Tercero con la herramienta Volatility realizamos el volcado del archivo.
Por último, analizamos el archivo volcado con la función cat de Linux.
Parece que el atacante también instaló un software legítimo de administración remota. ¿Cuál es el nombre del proceso en ejecución?
El nombre del proceso en ejecución es TeamViewer.exe. La evidencia se obtuvo con la herramienta Volatility y el pluign pslist.
Parece que los atacantes también usaron un método de acceso remoto integrado. ¿A qué dirección IP se conectaron?
Los atacantes se conectaron a la dirección IP 10.1.1.21. La Evidencia se obtuvo con la herramienta Volatility y el pluign cmdline y netscan.
Nota:
El programa mstsc.exe es un programa integrado en Windows encargado de ejecutar el Escritorio Remoto de Microsoft.
La contraseña de Gideon es t76fRJhS. La evidencia se obtuvo con la herramienta Volatility.
Primero se ejecutó un cmdscan al volcado de memoria. Como se observa en la imagen el atacante utiliza el programa wce.exe y realiza un volcado del resultado en un archivo nombrado w.tmp.
Segundo realizo la extracción del archivo w.tmp para analizar su contenido ejecutando el pluign dumpfile de Volatility.
Por último, con la función cat de Linux analizo el archivo, dando como resultado la contraseña del usuario Gideon.
La contraseña que usaron fue 123qwe!@#. La evidencia se obtuvo con la herramienta Volatility y el pluign cmdscan.
Nota:
Los argumentos -hp del comando rar se utilizan para encriptar tanto los archivos y sus encabezados.
¿Cuál era el nombre del archivo RAR creado por los atacantes?
¿Cuántos archivos agregó el atacante al archivo RAR?
El número de archivos agregados al rar son 3. La evidencia se obtuvo con la herramienta volatility y la función strings de Linux.
Primero se volcó el proceso 3048 que es el proceso asociado a la ejecución del programa RAR.
Segundo se utilizó la función strings de Linux para analizar el volcado del proceso 3048.
Como resulta obtenemos varios archivos .rar el que nos interesa es el offset 134431056. Por lo tanto, volvemos a utilizar la función strings para analizar el archivo nuevamente con el siguiente filtro.
Por último, obtenemos la evidencia que se necesita para responder la pregunta son tres archivos .txt.
El atacante parece haber creado una tarea programada en la máquina de Gideon. ¿Cuál es el nombre del archivo asociado con la tarea programada?
El nombre del archivo asociado a la tarea programada es 1.bat. la evidencia se obtuvo con la herramienta Volatility.
Primero se ejecutó la pluign filescan de Volatility y se volcó el resultado en un archivo .txt.
Segundo se analizó el archivo volcado con la cat y grep de Linux.
Cabe mencionar que las tareas programadas en sistemas Windows se almacenan en un directorio (carpeta) llamado Task.
Como se observa en la imagen a continuación hay dos nombre de tareas sospechoso uno es At1.job y At1.
Tercero realizo el volcado de los archivos mencionados anteriormente y se examina con la herramienta cat de Linux.
Como se puede observar hay una tarea programada para ejecutar un archivo 1.bat.
La dirección IP del servidor C&C es 54.84.237.92. La evidencia se obtuvo con la herramienta Volatility.
Primero se ejecutó el pluign malfind de Volatility para encontrar procesos ocultos o inyectados y los filtramos con la función grep de Linux.
Segundo se ejecutó el pluign netscan de Volatility y los filtramos con la función egrep de Linux.
Como se observa en la imagen existe una conexión fuera del área local asociado al proceso iexplorer.exe. Cabe recordar que este es el proceso comprometido.
Por último, analizaremos los strings del volcado de memoria, para encontrar evidencia del proceso comprometido.
Al realizar el análisis de los strings del volcado de memoria se evidencia la dirección IP del servido C&C.
¿Cuál es el nombre común del malware utilizado para infectar el sistema POS?
El nombre común del malware es Dexter. La evidencia se obtuvo con la herramienta Volatility y VirusTotal.
Primero se ejecutó la el pluign filescan de Volatility para encontar la ubicación del archivo allsafe_update.exe(malware).
Una vez volcado el archivo se envió a VirusTotal donde la herramienta lo identificó como malware y su nombre es Dexter.
Nota:
Dexter es un malware que vulnera equipos de puntos de venta y roba información confidencial de las tarjetas de crédito.
En la lista blanca de malware POS. ¿Qué aplicación era específica de Allsafecybersec?
¿Cuál es el nombre del archivo desde el que se lanzó inicialmente el malware?
El nombre inicial que lanzo hicialmente el malware es allsafe_update.exe. Esta evidencia se obtuvo con la herramienta Volatility y el pluign iehistory.
Comentarios
Publicar un comentario