Escenario
El equipo SOC recibió una alerta sobre una actividad ilegal de escaneado de puertos procedente del sistema de un empleado. El empleado no estaba autorizado a realizar ningún escaneo de puertos ni ninguna actividad de piratería ofensiva dentro de la red. El empleado afirmó que no tenía ni idea de ello y que probablemente se trataba de un malware que actuaba en su nombre. El equipo de IR consiguió responder inmediatamente y tomar una imagen forense completa del sistema del usuario para realizar algunas investigaciones.
Existe la teoría de que el usuario instaló intencionadamente aplicaciones ilegales para hacer escaneado de puertos y quizá otras cosas. Probablemente estaba planeando algo más grande, ¡mucho más allá de un escaneo de puertos!
Todo empezó cuando el usuario pidió un aumento de sueldo que fue rechazado. Después de eso, su comportamiento fue anormal y diferente. Se cree que el sospechoso tiene escasas habilidades técnicas, ¡y que podría haber alguien de fuera ayudándole!
Tu objetivo como analista SOC es analizar la imagen y confirmar o desmentir esta teoría.
Preguntas
¿Cuál es el nombre de la máquina sospechosa?
El nombre de la máquina sospechosa es 4ORENSICS. La información se obtuvo del archivo Hive SYSTEM. Primero exportamos el archivo Hive con la herramienta FTK Imager.
¿Cuál es la IP del ordenador?
La dirección IP del ordenador es 10.0.2.15. La información se obtuvo del archivo Hive SYSTEM. el análisis se realizó con la herramienta Fred.
El DHCP LeaseObtainedTime es 21/06/2016 02:24:12 UTC. La información se obtuvo del archivo Hive SYSTEM. Se analizó el Hive SYSTEM con la herramienta Fred.
El SID del ordenador es S-1-5-21-2489440558-2754304563-710705792. La información se obtuvo del directorio $Recycle.Bin.
Ejemplo:
SID = S-1-5-21-2978686404-281869060-1760278420 (Valor único).
UID = 1001 que identifica al usuario "franc" (Identificador de usuario).
Como se observa en la imagen SID es igual para todos los usuarios del sistema y se le agrega el identificador de usuario. Por lo tanto, el SID del ordenador es en este caso del ejemplo es S-1-5-21-2978686404-281869060-1760278420.
¿Cuál es la versión del sistema operativo?
La versión del sistema operativo es 8.1. La información se obtuvo del Hive SOFTWARE. Se analizó con la herramienta Fred.
La zona horaria del ordenador es UTC-07:00. La información se obtuvo de Hive SYSTEM. se utilizó la herramienta Fred para su análisis.
¿Cuántas veces inicio sesión este usuario en el ordenador?
El usuario inicio sesión 3 veces. La información se obtuvo del Hive SAM.
¿Cuándo fue la última vez que inicio sesión la cuenta descubierta? Formato: un espacio entre la fecha y la hora
La última vez que el usuario inicio sesión fue 2016-06-21 01:42:40. La información se obtuvo del HIVE SAM.
Había un "Network Scanner" funcionando en este ordenador, ¿cuál era? ¿Y cuándo fue la última vez que el sospechoso lo utilizó? Formato: program.exe,AAAA-MM-DD HH:MM:SS UTC
El escáner de red que se encuentra en el ordenador es Zenmap. Zenmap es la interfaz gráfica de usuario para Nmap.
Una vez exportado se analiza con la herramienta prefetch.py.
La respuesta a la pregunta quedaría de la siguiente manera zenmap.exe,2016-06-21 12:08:13 UTC.
¿Cuándo finalizó el escaneo del puerto? (Ejemplo: sáb 23 ene hh:mm:ss 2016)
El escaneo de puertos finalizó Tue Jun 21 05:12:09 2016. La información se obtuvo del archivo nmapscan.xml. En el directorio de Zenmap existe un archivo llamado recent_scan.txt que apunta al directorio C:\Users\Hunter\Desktop\nmapscan.xml.
Ahora exportaré el archivo nmapscan.xml.
¿Cuántos puertos se han escaneado?
La cantidad puertos escaneados fueron 1000 puertos. La información se obtuvo del archivo nmapscan.xml
Los puertos abiertos son 22,80,9929,31337. La información se obtuvo del archivo nmapscan.xml
La versión del escáner de red es 7.12. La información se obtuvo del archivo zenmap_version.
El nombre de usuario de la otra parte era linux-rul3z. La información se obtuvo de la base de datos main.db que se encuentra en el siguiente directorio /Users/hunter/AppData/Roaming/Skype/hunterehpt con la herramienta FTk Imager lo exportamos y lo analizamos con la herramienta SqliteBrowuser.
La aplicación a utilizar para exfiltrar datos es Teamviewer. La información se obtuvo de la base de datos main.db.
La dirección de correo electrónico de Gmail del sospechoso es ehptmsgs@gmail.com. La información se obtuvo del archivo backup.pst. Con la herramienta FTK Imager se exporto el archivo y se utilizó la herramienta PST Viewer para su análisis.
El nombre del diagrama eliminado es home-network-design-networking-for-a-single-family-home-case-house-arkko-1433-x-792.jpg. La información se obtuvo del archivo backup.pst.
El nombre del archivo es Ryan_VanAntwerp_thesis.pdf.
Como se observa en la imagen el software Jetico es un software de encriptación de datos. analizando los archivos y directorios de directorio Jetico encontré un archivo llamado Uninstall.log. Con FTk Imager exporte el archivo y con la utilidad cat de Linux lo analice.
En este archivo encontré el nombre de la aplicación.
Una de las aplicaciones instaladas es una destructora de archivos. ¿Cuál es el nombre de la aplicación? (dos palabras separadas por espacios)
¿Cuántos archivos prefetch se descubrieron en el sistema?
Luego de exportar el directorio Prefetch ejecuté La herramienta PECmd para obtener el número de archivos prefetch.
Como se observa en la imagen la aplicación se ejecutó 5 veces.
Se ejecutó un archivo JAR para una herramienta de manipulación de tráfico ofensivo. ¿Cuál es la ruta absoluta del archivo?
El empleado sospechoso intentó exfiltrar datos enviándolos como un archivo adjunto de correo electrónico. ¿Cuál es el nombre del archivo adjunto sospechoso?
Shellbags muestra que el empleado creó una carpeta para incluir todos los datos que extraerá. ¿Cuál es la ruta completa de esa carpeta?
La ruta completa de la carpeta es C:\Users\Hunter\Pictures\Exfil. La información se obtuvo del archivo UsrClass.dat y se analizó con la herramienta ShellBags Explorer.
El usuario eliminó dos archivos JPG del sistema y los movió a $Recycle-Bin. ¿Cuál es el nombre del archivo que tiene una resolución de 1920x1200?
El nombre del archivo que tiene una resolución de 1920x1200 es ws_Small_cute_kitty_1920x1200.jpg. La información se obtuvo con la herramienta FTK Imager.
Proporcione el nombre del directorio donde se almacena la información sobre los elementos de las JumpList (creadas automáticamente por el sistema).
El nombre del directorio donde se almacenan los JumpList generados Automáticamente es AutomaticDestinations. La información se obtuvo con la herramienta FTK Imager.
Los JumpList es una función de la barra de tareas introducida en Windows 7 y Windows 8. Los JumpList son creados mediante determinadas acciones de usuario, como guardar un archivo con Microsoft Word o visitar un sitio web con Firefox, que se guarda automáticamente como archivo *.automaticDestination-ms o *.customDestination. Esta función ofrece al usuario un acceso rápido y sencillo a los archivos de aplicaciones abiertos recientemente.
¿Cuál era el nombre de la aplicación de cifrado de disco instalada en el sistema de la víctima? (dos palabras separadas por espacios)
El nombre de aplicación de cifrado es Crypto Swap. La información se obtuvo del directorio Program Flie(x86) en el existe otro directorio llamado Jetico.
¿Cuáles son los números de serie de los dos dispositivos de almacenamiento USB identificados?
Los números de series de los dispositivos de almacenamiento USB son 07B20C03C80830A9, AAI6UXDKZDV8E9OU. La información se obtuvo del archivo Hive SYSTEM. Utilicé la herramienta Fred para su análisis.
La aplicación destructora de archivo es Jetico BCWipe. La información se obtuvo analizando el directorio Jetico en el existe un directorio BCWipe. Por lo tanto, busque en Internet sobre esta aplicación.
Los archivos prefetch descubiertos en el sistema son 174. La información se obtuvo con la herramienta FTK Imager. Primero exporte el directorio Prefetch, Luego para obtener el número de archivo prefetch utilice la herramienta PECmd.
Aquí el resultado es 172 archivos prefetch, pero la respuesta correcta para el laboratorio es 174. La verdad no se si hay un error en el laboratorio o yo cometí un error. De igual forma les brindo la repuesta correcta.
Los archivos Prefetch mejoran el rendimiento del sistema operativo, comenzó a implementarse en la versión Windows XP y se ha mantenido hasta la versión de Windows 11. Estos archivos se almacenan en el directorio Windows "Windows/Prefetch". Cuando se inicia Windows el sistema hace un seguimiento de los programas que se abren habitualmente. Por lo tanto, Windows guarda esta información en un conjunto de archivos en la carpeta Prefetch. Estos archivos son pequeños, pero facilitan que el inicio del sistema operativo se haga más rápido.
¿Cuántas veces se ejecutó la aplicación de destrucción de archivos?
Esta pregunta hace referencia a la aplicación BCWIPE, Por lo tanto, analizaremos los archivos Prefetch con la herramienta prefetch.py para saber cuántas veces se ejecutó la aplicación BCWIPE.
Mediante la captación previa, determine cuándo fue la última vez que se ejecutó ZENMAP.EXE-56B17C4C.pf.
La aplicación se ejecutó por última vez 06/21/2016 12:08:13 PM. La información se obtuvo con la herramienta prefetch.py.
La herramienta que se ejecutó fue BurpSuit, es una herramienta enfocada para evaluar la seguridad aplicaciones web. Es una aplicación de interfaz de escritorio codificada en lenguaje Java. La ruta de absoluta es C:\Users\Hunter\Downloads\burpsuite_free_v1.7.03.jar. La información se obtuvo del archivo burpsuite_free_v1.7.03.jar.lnk y la herramienta exiftool.
El nombre del archivo adjunto sospechoso es Pictures.7z. La información se obtuvo desde el archivo backup.pst y se analizó con la herramienta PST Viewer.
La ruta completa de la carpeta es C:\Users\Hunter\Pictures\Exfil. La información se obtuvo del archivo UsrClass.dat y se analizó con la herramienta ShellBags Explorer.
El sistema operativo Windows registra las preferencias de vistas de carpetas y escritorio. De tal modo, que cuando se vuelven a visitar Windows puede recordar la ubicación de la carpeta, la vista y las posiciones de los elementos. Windows almacena las preferencias de vista en las claves y valores del registro conocidos como Shellbags. Además, en estos registros se puede obtener a las carpetas que el usuario accedió en el pasado y sus marcas de tiempos.
El nombre del archivo que tiene una resolución de 1920x1200 es ws_Small_cute_kitty_1920x1200.jpg. La información se obtuvo con la herramienta FTK Imager.
El nombre del directorio donde se almacenan los JumpList generados Automáticamente es AutomaticDestinations. La información se obtuvo con la herramienta FTK Imager.
Utilizando el análisis JUMP LIST, proporcione la ruta completa de la aplicación con el AppID de "aa28770954eaeaaa" utilizada para eludir los controles de supervisión de seguridad de la red.
La ruta completa de la aplicación con el AppID "aa28770954eaeaaa" es C:\Users\Hunter\Desktop\Tor Browser\Browser\firefox.exe. La información se obtuvo con la herramienta FTK Imager y la herramienta JumpList Viewer.
Happy Hack!!!
La ruta completa de la aplicación con el AppID "aa28770954eaeaaa" es C:\Users\Hunter\Desktop\Tor Browser\Browser\firefox.exe. La información se obtuvo con la herramienta FTK Imager y la herramienta JumpList Viewer.
Happy Hack!!!
Comentarios
Publicar un comentario