Часть 2 Расследуйте эксплойт вместе со Sguil

Во второй части вы будете использовать Sguil для проверки оповещений IDS и сбора дополнительной информации о серии событий, связанных с этой атакой.

Примечание: Идентификаторы оповещений, используемые в этой лаборатории, приведены только в качестве примера. Идентификаторы оповещений на вашей виртуальной машине могут отличаться.

Откроем Sguil и найдём оповещения.

28. Запустите Sguil с рабочего стола. Войдите с именем пользователя analytics и паролем cyberops. Включите все датчики и нажмите Start.

29. Найдите группу оповещений от 27 января 2017 года.

Рисунок 29 – Группа оповещений Sguil

По словам Sguil, каковы временные метки первого и последнего предупреждений, произошедших с разницей примерно в секунду? 22:54:42 и 22:54:43

Изучите предупреждения в Sguil.

30. Установите флажки «Показать данные пакета» и «Показать правило», чтобы просмотреть информацию о поле заголовка пакета и правило сигнатуры IDS, связанное с оповещением.

31. Выберите идентификатор оповещения 5.2 (Сообщение о событии ET CURRENT Evil Redirector Leading to EK 12 июля 2016 г.).

Согласно правилу сигнатуры IDS, какое семейство вредоносных программ вызвало это оповещение? Возможно, вам придется прокрутить сигнатуру оповещения, чтобы найти эту запись.

Evil Redirector - это семейство вредоносных программ, которое упоминается в первых двух оповещениях (от 12 июля 2016 года и 15 марта 2017 года). Эти оповещения указывают на атаки, связанные с перенаправлением трафика на вредоносные сайты.

Согласно сообщениям о событиях в Sguil, какой набор эксплойтов (EK) задействован в этой атаке?

Evil Redirector

Помимо обозначения атаки как троянской активности, какая еще информация предоставляется относительно типа и названия задействованного вредоносного ПО?

Вредоносное ПО обозначается как троян, но также упоминается использование эксплойтов, что указывает на наличие уязвимостей, которые могут быть использованы для компрометации системы.

По вашим наилучшим оценкам, исходя из полученных на данный момент оповещений, каков основной вектор этой атаки? Как произошла атака?

Основной вектор атаки заключается в использовании уязвимостей через веб-страницы или ссылки, которые перенаправляют пользователей на вредоносные сайты, где происходит загрузка и установка вредоносного ПО. Атака могла произойти через фишинг, где пользователи кликают на вредоносные ссылки, что приводит к активации Evil Redirector и RIG EK.

Посмотреть стенограммы событий

32. Щелкнули правой кнопкой мыши, связанный идентификатор оповещения 5.2 (Сообщение о событии ET CURRENT_EVENTS Evil Redirector Leading to EK Jul 12 2016). Выбрали Transcript из меню.

Рисунок 30 - Transcript

Какие реферерские и хостовые веб-сайты участвуют в первом событии SRC? Что, по-вашему, сделал пользователь, чтобы сгенерировать это оповещение?

Реферер:http://www.bing.com/search?q=home+ improvement+remodeling+your+kitchen&qs=n&sp=-1&pq=home+improvement+remodeling+your+kitchen&sc=0-40&sk=&cvid=194EC908DA65455B9E9A98285A3313 2B&first=7&FORM=PERE

Хост: www.homeimprovement.com

Судя по информации в событии, пользователь, вероятно, выполнил поиск на Bing с запросом, связанным с улучшением кухни ("home improvement remodeling your kitchen"). Затем он перешел по ссылке на сайт www.homeimprovement.com, где был выполнен HTTP-запрос для получения страницы с информацией о кухонных шкафах.

Введите свои ответы здесь.

33. Щелкните правой кнопкой мыши идентификатор оповещения 5.24 (исходный IP-адрес 139.59.160.143 и сообщение о событии ET CURRENT_EVENTS Evil Redirector Leading to EK 15 марта 2017 г.) и выберите «Транскрипт», чтобы открыть стенограмму разговора.

Рисунок 31 - Transcript 1_24

О каком запросе идет речь?

Запрос касается страницы: /remodeling-your-kitchen-cabinets.html.

Запрашивались ли какие-либо файлы?

Да, запрашивалась HTML-страница с указанным URL.

Каков URL-адрес реферера и хост-сайта?

URL-адрес реферера: www.homeimprovement.com

Хост-сайта: retrotip.visionurbana.com.ve

Как закодирован контент?

Контент закодирован с помощью Transfer-Encoding: chunked.

34. Закрыли текущее окно транскрипта. В окне Sguil щелкните правой кнопкой мыши идентификатор оповещения 5.25 (Сообщение о событии ET CURRENT_EVENTS Rig EK URI Struct Mar 13 2017 M2) и откройте транскрипт.

Рисунок 32 - Transcript 1_25

Каков был первый запрос?

Первый запрос был: GET /?ct=Vivaldi&biw=Vivaldi....

Кто был реферером?

Реферером был: www.homeimprovement.com

Кому был отправлен запрос на хост-сервер?

Запрос был отправлен на хост-сервер: tyu.benme.com.

Был ли ответ закодирован?

Да, ответ был закодирован с помощью Transfer-Encoding: chunked.

Каков был второй запрос?

Второй запрос: GET:/?biw=SeaMonkey.105qj....

Кому был отправлен запрос на хост-сервер?

Запрос был отправлен на хост-сервер: tyu.benme.com.

Был ли ответ закодирован?

Да, ответ был закодирован. Он имеет Content-Length, что означает, что контент не использует Transfer-Encoding: chunked, а передается как фиксированная длина.

Кто был реферером?

Реферером во втором запросе был: tyu.benme.com/?biw=Mozilla…

Каков был Content-Type третьего ответа?

Content-Type третьего ответа был: application/x-shockwave-flash.

Каковы были первые 3 символа данных в ответе? Данные начинаются после последней записи DST:

Первые 3 символа данных в ответе: CWS (начало HTML документа).

35. Закройте окно расшифровки.

36. Снова щелкните правой кнопкой мыши по тому же идентификатору и выберите Network Miner. Нажмите на вкладку Files.

Рисунок 33 - Network Miner

Сколько всего файлов и каковы их типы?

Всего файлов: 3.

Типы файлов:

1. index.html.13198475.html - html

2. index.html.4B461872.html - html

3. Index.html.67899BE6 - swt