Escenario:
Se proporciona un seguimiento de la red con datos del ataque. Tenga en cuenta que la dirección IP de la víctima se ha cambiado para ocultar la ubicación real.
Como analista SOC, analice los artefactos y responda las preguntas.
1.- Se atacaron varios sistemas. Proporcione la dirección IP más alta.
Con la herramienta NetworkMiner analizaremos el archivo de captura de red proporcionado como artefacto de análisis.
Como se muestra en la imagen anterior hay varios hosts. Ahora con la herramienta Brim Security filtraré la captura para eliminar direcciones IP no sospechosas.
Como se muestra en la imagen anterior la dirección IP más alta es 10.0.5.15.
El ataque se propago por el protocolo "http". Lo pude deducir considerando que la IP 10.0.5.15 es una IP comprometida, podemos asumir que el ataque se propago por el protocolo "http" debido al volumen de solicitudes "http" desde la dirección IP 10.0.5.15.
3.- ¿Cuál era la URL de la página utilizada para servir ejecutables maliciosos (no incluya parámetros de URL)?
Con la herramienta Wireshark y su opción "Export Objects" (File->Export Objects->http), analizaremos tanto las URL y los archivos descargados. Sabemos que la dirección IP comprometida es 10.0.5.15 y que el ataque se propago por el protocolo "http".
Notar que utilice el filtro "Applications/octec-stream". Ahora filtraré por el frame número 189.
Como se muestra en la imagen anterior la descargar tiene un código de estado "200 OK". Esto indica que la descarga se efectuó con éxito. Ahora analizaré el archivo que se descargó.
Como se muestra en la imagen anterior el archivo descargado es un archivo ejecutable(.exe).
4.- ¿Cuál es el número del paquete que incluye una redirección a la versión francesa de Google y que probablemente sea un indicador de orientación basada en geografía?
Para responder esta pregunta utilizare la herramienta Wireshark y filtraré las solicitudes por código de estado http 302. El código de estado http 302, indica que el recurso fue movido temporalmente a la URL dada por la cabecera "Location".
Ahora se redujo la superficie de análisis a 5 paquetes, ahora revisando cada uno de los paquetes encontré una referencia de Google que redirecciona a Google a la versión francesa en el frame número 299.
5.- ¿Cuál fue el CMS utilizado para generar la página 'shop.honeynet.sg?
Con la herramienta Wireshark y su opción "Export Objects" (File->Export Objects->http) exportaremos el objecto html correspondiente a la página web shop.heneynet.sg.
Ahora nos queda averiguar su versión de osCommerce. Actualmente la versión de este programa está en su versión 4 llamada osCommerceV4. Se que esta no es la respuesta correcta no coincide con el formato de respuesta. Por lo tanto, utilizaré los dork de Google para obtener mayor información sobre las versiones de este CMS.
La respuesta correcta está en el sexto link.
6.-¿Cuál es el número del paquete que indica que 'show.php' no intentará infectar el mismo host dos veces?
Para responder esta pregunta debemos analizar las diferentes solitudes al recurso show.php.
Como se muestra en la siguiente imagen hay un patrón de solicitud. Con la herramienta Wireshark y su opción "Export Objects" (File->Export Objects->http) podemos observar el patrón de solicitudes al recurso show.php.
Al analizar cada una de las solicitudes me fije que en el paquete 174 y 366 las respuestas son distintas, aunque las solicitudes son las mismas.
Como se muestra en la imagen anterior hay una respuesta del servidor con código "200 OK"
y muestra un mensaje visible al usuario "<p>The requested URL /fg/show.php?s=3feb5a6b2f was not found on this server.</p>", pero en segundo plano se ejecuta un script de tipo javascript.
En cambio, en el paquete 366 la misma solicitud, la respuesta es completamente distinta.
Como se muestra en la imagen anterior se muestra la misma respuesta al usuario y no se ejecuta el script javascript. Por lo tanto, el paquete 366 sirve como evidencia de que el host puede infectarse solo una vez.
7.- Uno de los exploits que se están utilizando apunta a una vulnerabilidad en "msdds.dll". Proporcione el número CVE correspondiente.
Para responder esta pregunta utilizaré www.cve.mitre.org para buscar CVE correpondiente a la vulnerabilidad que afecta msdds.dll.
8.- ¿Cuál es el nombre del ejecutable que se sirve a través de "http://sploitme.com.cn/fg/load.php?e=8"?
Esta fue una de las preguntas más difíciles de responder. Luego de pensar por varias horas comencé mi análisis buscando paquetes de datos que contenga algún tipo de código ofuscado o que se ejecute en segundo plano como en la pregunta número 6. Bueno, en el paquete de dato número 496 hay una gran cantidad de código ofuscado como se muestra en la siguiente imagen.
Ahora lo que haré es copiar todo ese código en un archivo llamado en mi caso "script.js" como se muestra en la siguiente imagen.
Ahora para desofuscar el código ejecutare el código descargado con la herramienta Node y volcaré la ejecución del código en un archivo llamada decode.js.
Como resultado de la ejecución de la instrucción anterior obtuvimos el siguiente resultado.
Para analizar el código obtenido utilizaré la herramienta js-beautify, esta herramienta permite indentar el código para un mejor análisis como se muestra en la siguiente imagen.
Volviendo al análisis del código, llamo mi atención los siguientes trozos de código que hacen referencia a shellcode.
Aquí el trozo de código que nos interesa el número 4. Ahora con la herramienta Cyberchef vamos hacer algunas transformaciones al código.
Encontramos nuestra shellcode que nos interesa como se muestra en la imagen anterior se muestra la URL que entrega el ejecutable.
Por último, guardamos los resultados obtenidos con la herramienta Cyberchef. Para luego ejecutar el archivo con la herramienta scdbg. La herramienta scdbg es un analizador de shellcode basada en la librería de emulación libemu. Al ejecutar la herramienta mostrará al usuario toda la API de Windows que el código shell intenta llamar.
Como se muestra en la imagen anterior, para guardar la información debemos hacer clic en el icono de diskette, luego se mostrará un cuadro de dialogo donde podemos editar el nombre y extensión del archivo donde se guardará la información. Al hacer clic en el botón "Ok" el archivo se guardará en la carpeta de descarga.
Por último, no queda ejecutar el archivo con la herramienta scdbg.
Encontramos la respuesta a nuestra pregunta.
9.- Uno de los archivos maliciosos se envió por primera vez para su análisis a VirusTotal el 17 de febrero de 2010 a las 11:02:35 y tiene un hash MD5 que termina en "78873f791". Proporcione el hash MD5 completo.
Con la herramienta Wireshark y su opción "Export Objects" (File->Export Objects->http) y aplicaremos el filtro Application/octet-stream.
Para responder esta pregunta debemos analizar cada una de las shellcode que muestre la URL http://sploitme.com.cn/fg/load.php?e=3, luego identificar el nombre de la función donde se encuentra la shellcode.
11.- Desofusque el JS en 'shop.honeynet.sg/catalog/' y proporcione el valor del parámetro 'clic' en la URL resultante.
Con la herramienta Wireshark y su opción "Export Objects" (Files->Export Objects->http) buscaremos el archivo "catalog" para su análisis.
Como se muestra en la imagen anterior encontramos nuestro código de interés. en la siguiente imagen se puede apreciar mejor el código.
Ahora debemos modificar este código en la línea 13 donde se encuentra la siguiente instrucción "document.write(m);", debemos modificar por el siguiente código "console.log(m)". Posterior a la modificación debemos abrir el documento "catalog" en el navegador web y con las herramientas de desarrollo observar el contenido de la variable "m".
En la imagen anterior encontramos la respuesta a nuestra pregunta.
12.- Desofusque el JS en 'rapidshare.com.eyu32.ru/login.php' y proporcione el valor del parámetro 'click' en la URL resultante.
Con la herramienta Wireshark realisamos los mismos pasos que realizamos en la pregunta anterior para obtener el archivo login.php.
Ahora copiaré el código javascript y lo modificaré para poder desofuscarlo, para esta tarea ocupare la herramienta online playcode.io.
En la imagen anterior se muestra el código original. En la siguiente imagen se muestra el código modificado.
13.- ¿Cuál fue la versión de 'mingw-gcc' que compiló el malware?
Para responder esta pregunta utilizare la herramienta Bulk Extractor, Bulk Extractor es una herramienta para realizar carving. Es una técnica utiliza para recuperar archivos desde una imagen forense.
La opción "-o" de Bulk Extractor es un directorio que creé volcar los archivos encontrados por Bulk Extractor.
Como se muestra en la imagen anterior el directorio que nos interesa es winpe_carver.
Como se muestran en las imagenes anteriores hay 5 archivos ejecutables el que nos interesa es el primero llamado 179535.winpe.
Ahora con la herramienta "xxd" que es un visor hexadecimal examinaré el archivo.
14.- El código shell utilizaba una función nativa dentro de 'urlmon.dll' para descargar archivos de Internet al host comprometido. ¿Cuál es el nombre de la función?
Esta pregunta apunta al archivo download.bin que analizamos en la pregunta número 8. Entonces con la herramienta scdbg volveremos a ejecutar el archivo download.bin para su análisis.
Happy Hack!!!
Comentarios
Publicar un comentario