Como analista de ciberseguridad de una institución financiera líder, una alerta de su solución SIEM ha señalado una actividad inusual en una estación de trabajo interna. Dados los datos financieros confidenciales en riesgo, se requiere una acción inmediata para evitar posibles infracciones.
Su tarea consiste en analizar el volcado de memoria proporcionado por el sistema comprometido. Debe identificar los indicadores básicos de compromiso (IOC) y determinar el alcance de la intrusión. Investigue los comandos o archivos maliciosos ejecutados en el entorno e informe sus hallazgos en detalle para ayudar en la solución y mejorar las defensas futuras.
Preguntas:
1.- Identificar el nombre del proceso malicioso ayuda a comprender la naturaleza del ataque. ¿Cuál es el nombre del proceso malicioso?
Para responder esta preguta utilizaré la herramienta Volatility3, como se muestra en la siguiente imagen se nos proporciona un volcado de memoria de windows de 64 bit.
Para una mejor comprensión del comando malfind de Volatility3 recomiendo leer la página 251 del libro The Art of memory forensics. El comando malfind analiza las características y los indicadores de VAD. Como se muestra en la imagen VAD es PAGE_EXECUTE_READWRITE de la región de memoria para el proceso 3692 powershell.exe, esto permite escribir en la región de memoria de proceso original en el proceso inyectado.
Ahora para comprobar que el proceso 3692 powershell.exe es un proceso malicioso lo extraeré y lo analizare con la herramienta VirusTotal.
Hasta aquí todo va bien. Virustotal lo indentificó como un proceso malicioso. Por lo tanto, podemos concluir que el nombre del proceso malicioso es powershell.exe.
2.- Conocer el ID del proceso principal (PPID) del proceso malicioso ayuda a rastrear la jerarquía del proceso y comprender el flujo de ataque. ¿Cuál es el PID principal del proceso malicioso?
Para responder esta pregunta utilizaré el comando pstree de Volatility3. Este comando lista los procesos de forma jerárquica.
Como se muestra en la imagen anterior el PPID (Proceso Padre) del proceso 3692 es el proceso 4120.
3.- Determinar el nombre del archivo utilizado por el malware para ejecutar la carga útil de la segunda etapa es crucial para identificar actividades maliciosas posteriores. ¿Cuál es el nombre de archivo que utiliza el malware para ejecutar la carga útil de la segunda etapa?
Utilizaré el comando cmdline de Volatility3, el comando cmdline lista los procesos de línea de comando con sus argumentos.
4.- Identificar el directorio compartido en el servidor remoto ayuda a rastrear los recursos a los que apunta el atacante. ¿Cuál es el nombre del directorio compartido al que se accede en el servidor remoto?
Esta pregunta la podemos responder con la pregunta número 3. En ella se observa el directorio compartido por el atacante.
5.- ¿Cuál es el ID de la subtécnica MITRE que utiliza el malware para ejecutar la carga útil de la segunda etapa?
Como se ve en la imagen de la pregunta número 4, el malware descarga un archivo con extensión dll el cual lo ejecuta a través de run32.dll. Esta técnica es conocida como "System Binary Proxy Execution" y su ID MITRE es T1218.011.
6.- Identificar el nombre de usuario bajo el cual se ejecuta el proceso malicioso ayuda a evaluar la cuenta comprometida y su impacto potencial. ¿Cuál es el nombre de usuario con el que se ejecuta el proceso malicioso?
Utilizaré el comando windows.registry.userassist de Volatility3 para obtener la información del usuario que ejecuta el proceso malicioso.
El registro (Hive) userassist registra estadísticas detalladas de uso de aplicaciones, incluyendo el recuento de ejecuciones y la última vez ejecutada.
Happy Hack!!!
Comentarios
Publicar un comentario