Escenario
Ha sido contratado como investigador forense digital para investigar una posible brecha de seguridad en una empresa. La compañía notó recientemente una actividad inusual en la red y sospecha que puede haber un proceso malicioso ejecutándose en una de sus computadoras. Su tarea es identificar el proceso malicioso y recopilar información sobre su actividad.
Preguntas
¿Cuál es el ID de proceso del proceso malicioso que se está ejecutando actualmente?
El ID proceso sospechoso es: 8560. Aquí toca hacer un análisis un poco más exhaustivo, como se muestra en la imagen a simple vista no se identifican nombres de procesos sospechosos. Se utilizo la herramienta Volatility con el comando pslist.
Pero lo sospechoso aquí hay varios procesos svchost.exe. Cabe mencionar que el proceso svchost.exe (Service Host) es común tener varios procesos de este tipo, ya que es el encargado de ejecutar varios servicios dentro de Windows. En arquitecturas de Windows de 32 bits. se ubica en el directorio %SystemRoot%\System32\Svchost.exe y en arquitecturas de 64 bits se ubica en el directorio %SystemRoot%\SysWOW64\Svchost.exe. Por lo tanto, es común que los ciberdelincuentes oculten malware en este proceso. Entonces exploraremos estos procesos.
Aquí debemos fijarnos en la columna PPID (Parent Process Identifier) Identificador de proceso principal, como se observa en la imagen el proceso svchost.exe está asociado a dos ID de procesos principal estos son 804 y 4824. Toca identificar cuáles son estos procesos.
Analizaremos todos los procesos con ID 4824 que estén asociados svchost.exe.
Aquí lo sospechoso es el proceso svchost.exe asociado al PID 8560 que está activo en la memoria. Por lo tanto, extraeremos el proceso con ID 4824 y calcularemos su hash para enviarlo a VirusTotal.
Bien!!!, VirusTotal identifico unos de sus antivirus como un archivo malicioso. Recuerda que la mayoría de los ciberdelicuentes ocultan malware en procesos legítimos para evadir evadir los mecanismos de seguridad.
¿Cuál es el hash md5 oculto en la memoria del proceso malicioso?
El hash MD5 oculto en proceso malicioso es: 3a19697f29095bc289a96e4504679680. Para obtener esta información se debe extraer el volcado de memoria del proceso con el ID 8560 y utilizar la función strings de Linux para analizar las cadenas de caracteres (strings) en del archivo resultante.
Para extraer el volcado de memoria del proceso con ID 8560, se debe ejecutar la siguiente instrucción con la herramienta Volatility.
vol.py -f memdump.mem --profile=Win10x64_17134 memdump -p 8560 -D dump/
Luego, extraemos los strings del archivo extraído con la siguiente instrucción.
strings 8560.dmp > 8560.txt
Para analizar los strings obtenidos puedes utilizar tu editor favorito. Para este caso utilizare GNU nano
En la línea 1249 llama la atención la frase t.h.e fl.ag.is. M2ExOTY5N2YyOTA5NWJjMjg5YTk2ZTQ1MDQ2Nzk2ODA=
Como se observa en la imagen hay un string codificado en base64. Vamos a decodificarlo.
Al decodificar el string en base64 obtenemos un nuevo string veamos si corresponde a un hash MD5. Para eso utilizaremos la herramienta hash-id.py.
La herramienta nos indica que el hash es un MD5. Este es nuestro hash.
¿Cuál es el nombre del proceso del padre del proceso malicioso?
El nombre del proceso padre es: explorer.exe. lo habíamos analizados anteriormente en la primera pregunta.
¿Cuál es la dirección MAC de la puerta de enlace predeterminada de esta máquina?
La dirección MAC es: 00:50:56:FE:D8:07. Para obtener la información se utilizó la herramienta Volatility y RegRipper.
Primero con Volatility hacemos el volcado de los registros hive cargado en memoria.
vol.py -f memdump.mem --profile=Win10x64_10586 dumpregistry -D dump/
Luego de realizar el volcado de los registros hive con la herramienta regripper volcamos el archivo registry.0xffffd38985eb3000.SOFTWARE.reg. Con el siguiente comando.
sudo rip.pl -r registry.0xffffd38985eb3000.SOFTWARE.reg -f software > out.txt
Luego con su editor favorito buscamos el registro que contenga la cadena NetworkList. En mi caso utilizare GNU nano.
En la línea 14600 encontramos la dirección MAC de la máquina.
¿Cuál es el nombre del archivo que está oculto en el flujo de datos alternativo?
El nombre del archivo que esta oculto en el flujo de datos alternativo es: yes.txt. La información se obtuvo desde la MFT.
MFT:
Es un archivo que contiene información de los sistemas con formato NTFS. Es decir, información de todos los ficheros y carpeta que contiene la partición. Por lo tanto, cada registro de MTF describe un archivo o directorio y contiene los atributos del archivo: nombre, marcas de tiempo y la lista de direcciones de disco donde están sus bloques de datos.
Con Volatility se puede volcar la información de la MFT con el siguiente comando.
vol.py -f memdump.mem --profile=Win10x64_17134 mftparser > mft.txt
Luego con su editor favorito analizamos los resultados. En mi caso utilizare GNU nano.
En el laboratorio se nos da una pista, nos indica que es un archivo tipo .txt.
Encontramos el archivo, lo importante aquí es la frase is.be.a.flags al parecer hace está relacionada con la segunda pregunta.
¿Cuál es la ruta completa del caché del navegador creado cuando el usuario visitó?
La ruta de la cache del navegador es: C:\Users\CTF\AppData\Local\Packages\MICROS~1.MIC\AC\#!001\MICROS~1\Cache\AHF2COV9\13cubed[1].htm.
Para encontrar la información utilizaremos el volcado del archivo MFT que se realizó en la pregunta anterior y su editor favorito.
Happy Hack!!!
Comentarios
Publicar un comentario