Cyberdefenders ReadLine Walkthrough - Solution

 

Escenario

Como miembro del equipo de Security Blue, su tarea es analizar un volcado de memoria utilizando las herramientas Redline y Volatility. Su objetivo es rastrear los pasos tomados por el atacante en la máquina comprometida y determinar cómo lograron eludir el Sistema de detección de intrusos en la red "NIDS". Su investigación implicará identificar la familia de malware específica empleada en el ataque, junto con sus características. Además, su tarea es identificar y mitigar cualquier rastro o huella dejada por el atacante.

Preguntas

¿Cómo se llama el proceso sospechoso?

El proceso sospechoso se llama oneetx.exe. La información se obtuvo con la herramienta Volatility con su pluing pslist.

Al revisar el resultado de ejecutar el comando anterior, me llamo la atención el proceso número 5480 con nombre oneetx.exe. Por lo tanto, procederé a extraer el archivo. ejecutaré el comando produm de Volatility para su extracción.

El resultado de ejecutar el comando anterior nos da un error "Error: PEB at 0xc00000 is unavailable (possibly due to paging)". Este error hacer referencia al archivo de paginación pagefile.sys en nuestro caso. El archivo pagefile.sys es utilizados en sistemas operativos Windows, y es el encardo de almacenar temporalmente parte de los datos almacenados en la memoria RAM. Algunas herramientas de adquisición de imágenes no recoleta este archivo.

Con lo anterior no hay una manera de extraer el archivo y analizarlo con alguna herramienta para comprobar si es un proceso legitimo o no. Por lo tanto, Buscare información en internet.

Para nuestra fortuna encontré el informe de análisis de AnyRun.  

¿Cuál es el nombre del proceso secundario del proceso sospechoso?

El nombre del proceso sospechoso es rundll32.exe. La información se obtuvo con el comando pstree de volatility.

¿Cuál es la protección de memoria aplicada a la región de memoria de proceso sospechosa?

La protección de memoria utilizada es PAGE_EXECUTE_READWRITE. La información se obtuvo con el comando malfind de Volatility. 

¿Cuál es el nombre del proceso responsable de la conexión VPN?

El nombre del proceso responsable de la conexión VPN es Outline.exe. La información se obtuvo realizado una búsqueda en Internet. Outline es es un proyecto de código abierto creado por el grupo Jigsow.

¿Cuál es la dirección IP del atacante?

La dirección IP del atacante es 77.91.124.20. La información se obtuvo realizando el volcado de memoria del proceso número 5896.

Luego extraeremos los strings (cadenas) del archivo volcado. Utilizaremos el comando strings de Linux y utilizaremos también el comando grep para extraer las direcciones IP.

Basado en los artefactos anteriores. ¿Cuál es el nombre de la familia de malware?

El nombre de la familia de malware es RedLine Stealer. La información se obtuvo de la página web Malpedia. Malpedia es un servicio gratuito ofrecido por Fraunhofer FKIE. La administración está a cargo de Daniel Plohmann y Steffen Enders.

¿Cuál es la URL completa del archivo PHP que visitó el atacante?

La URL completa del archivo PHP que visitó el atacante es http://77.91.124.20/store/games/index.php

¿Cuál es la ruta completa del ejecutable malicioso?

La ruta completa del ejecutable malicioso es C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe. La información se obtuvo analizando los strings (cadena) del archivo MemoryDump.mem.

Happy Hack!!!