Cyberdefenders Amadey Lab Walkthrough

el
Una alerta fuera del horario laboral del sistema Endpoint Detection and Response (EDR) señala una actividad sospechosa en una estación de trabajo de Windows. El malware señalado se alinea con el troyano ladrón Amadey. Su trabajo consiste en analizar el volcado de memoria presentado y crear un informe detallado de las acciones realizadas por el malware.

Preguntas

1.- En el análisis del volcado de memoria, determinar la raíz de la actividad maliciosa es esencial para comprender el alcance de la intrusión. ¿Cuál es el nombre del proceso principal que desencadenó este comportamiento malicioso?
Como el artefacto a periciar es un volcado de memoria utilizaré la herramienta Volatility3. Ahora listaré todos los procesos para tener una visión general de todos los procesos que están en ejecución.
lssass.exe
Al listar los procesos hubo un proceso que llamo mi atención, el proceso lssass.exe el nombre del proceso original es lsass.exe. y es un proceso de Windows que se encarga de las políticas de seguridad del sistema operativo.

Como se muestra en la imagen anterior el proceso es llamado como lssass.exe, por lo tanto, lo que haré es realizar una extracción del ejecutable y calcularé su hash para luego enviar el hash a ViruTotal.
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.pslist --pid 2748 --dump
Dump del proceso 2748 lssass.exe
af89f4d63ed5fd586d52b5d92355622653d043fed2cc969c6e734012bd7cbba7
Cálculo de hash256
VirusTotal
Como se muestra en la imagen anterior VirusTotal lo detecto como un proceso malicioso.
2.- Una vez identificado el proceso malicioso, su ubicación exacta en el dispositivo puede revelar más sobre su naturaleza y origen. ¿Dónde se encuentra alojado este proceso en la estación de trabajo?
Para responder esta pregunta utilizaré el plugin windows.cmdline de Volatility3.
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.cmdline --pid 2748
Como se muestra en la imagen anterior el proceso malicioso está ubicada en el directorio C:\Users\0XSH3R~1\AppData\Local\Temp\925e7e99c5\lssass.exe.
3.- Las comunicaciones externas persistentes sugieren que el malware intenta llegar al servidor C2C. ¿Puede identificar la dirección IP del servidor de comando y control (C2C) con el que interactúa el proceso?
Utilizaré el plugin windows.netscan.NetScan de Volatility3. Luego el resultado lo volcaré en un archivo llamado netscan.txt.
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.netscan.NetScan > finding/netscan.txt
Luego filtraré el archivo netscan.txt por el proceso lssass.exe.
cat netscan.txt |grep -i lssass.exe
Como se muestra en la imagen anterior hay tres conexiones que realiza el proceso lssass.exe dos de las conexiones apuntan a la dirección IP 41.75.84.12 y 56.75.178.2.

Ahora comprobaré si alguna de las direcciones IP es maliciosa con la herramienta VirusTotal.
Virustotal 56.75.178.2
VirusTotal escaneo de dirección IP 56.75.178.2
Virustotal 41.75.84.12
VirusTotal escaneo de dirección IP 41.75.84.12
Como se muestran en las imágenes anteriores ninguna dirección IP es detectada como maliciosa. Por lo tanto, la respuesta para esta pregunta es la dirección IP 41.75.84.12.
4.- Siguiendo el vínculo del malware con el C2C, es probable que el malware obtenga herramientas o módulos adicionales. ¿Cuántos archivos distintos está intentando introducir en la estación de trabajo comprometida?
Con el plugin windows.memmap.Memmap de Volatility3, volcare las páginas de memoria para analizarlas.
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.memmap.Memmap --pid 2748 --dump
Ahora con el comando strings de Linux extraeré los strings relacionados con peticiones HTTP.
Como se muestra en la imagen hay 2 archivos que se intentan introducir a la estación de trabajo.
5.- Identificar los puntos de almacenamiento de estos componentes adicionales es fundamental para la contención y la limpieza. ¿Cuál es la ruta completa del archivo descargado y utilizado por el malware en su actividad maliciosa?
Utilizaré el plugin windows.filescan de Volatility3. También Utilizaré el comando grep para filtrar los resultados.
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.filescan |grep -i "clip64.dll"
El directorio de donde se almaceno el archivo descargado por el malware es C:\Users\0xSh3rl0ck\AppData\Roaming\116711e5a2ab05\clip64.dll.
6.- Una vez recuperados, el malware intenta activar sus componentes adicionales. ¿Qué proceso secundario inicia el malware para ejecutar estos archivos?
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.cmdline |grep -i "clip64.dll"
Como se muestra en la imagen anterior utilice el comando windows.cmdline de Volatility3 y el comando grep de Linux para filtrar el resultado por clip64.dll.
7.- Comprender la gama completa de mecanismos de persistencia de Amadey puede ayudar a mitigarlos de manera eficaz. Además de las ubicaciones ya señaladas, ¿en qué otros lugares podrían él malware garantizar su presencia constante?
python3 vol.py -f "/home/ubuntu/Desktop/Start here/Artifacts/Windows 7 x64-Snapshot4.vmem" windows.filescan |grep -i "lssass.exe"
Como se muestra en la imagen anterior el malware genera persistencia a través del directorio windows/system32/task. Este directorio es utilizado por el sistema operativo Windows para almacenar tareas programadas, y los atacantes pueden aprovecharlo para establecer un sistema de persistencia creando tareas maliciosas que se ejecuten automáticamente.
Happy Hack!!!

Comentarios

Publicar un comentario