Работа 27.2.16 Расследование атаки на хост Windows
Расследуйте нападение вместе со Sguil
В части 1 вы будете использовать Sguil для проверки оповещений IDS и сбора дополнительной информации о серии событий, связанных с атакой 19.03.2019.
Откройте Sguil и найдите оповещения от 19.03.2019.
Войдите в Security Onion VM, используя имя пользователя аналитика и пароль cyberops.
Запустите Sguil с рабочего стола. Войдите с именем пользователя analytics и паролем cyberops. Нажмите Select All и Start Sguil, чтобы просмотреть все оповещения, сгенерированные сетевыми датчиками.
Найдите группу оповещений от 19 марта 2019 года.
Рисунок 49 - Группа 19 марта 2019
По словам Сгила, каковы временные метки для первого и последнего из оповещений, которые произошли 19.03.2019? Что интересного во временных метках всех оповещений 19.03.2019?
Временная метка: 2019-03-19 02:03:24
Alert ID: 5.571
IP-адрес: 31.22.4.176
Временная метка: 2019-03-19 04:54:34
Alert ID: 5.942
IP-адрес: 115.112.43.81
Все оповещения произошли в течение одного и того же дня, что может указывать на возможность серийной атаки или активности злоумышленников, проведенной в короткий промежуток времени.
Первое оповещение произошло рано утром (02:03:24), а последнее — около полудня (04:54:34), что может свидетельствовать о том, что злоумышленники действовали в определённый временной диапазон.
Все три оповещения имеют одинаковый тип события (ET TROJAN ABUSE.CH), что может указывать на аналогичную природу угрозы и на то, что мониторинг проводился в отношении троянских программ, связанных с Abuse.ch.
Все оповещения связаны с одним и тем же целевым IP-адресом (10.0.90.215), что может говорить о целенаправленной атаке на определенный ресурс или систему.
Подробно просмотрите оповещения.
В Sguil щелкните первое из оповещений от 19.03.2019 (идентификатор оповещения 5.439). Обязательно отметьте флажками Show Packet Data и Show Rule, чтобы изучить информацию заголовка пакета и правило сигнатуры IDS, связанное с оповещением. Прямо на идентификаторе оповещения и перейдите в Wireshark.
Рисунок 50 - Wireshark
На основе информации, полученной из этого начального оповещения, ответьте на следующие вопросы:
Каковы были исходный IP-адрес и номер порта, а также целевой IP-адрес и номер порта? Какой тип протокола, запроса или ответа использовался?
Исходный IP-адрес: 10.0.90.215
Номер порта (исходный): Информация о порте не была предоставлена в вашем сообщении.
Целевой IP-адрес: 10.0.90.9
Номер порта (целевой): Информация о порте не была предоставлена в вашем сообщении.
Тип протокола: DNS
Тип сообщения: Запрос (dynamic update) и Ответ (dynamic update response)..
Что такое оповещение и сообщение IDS?
Оповещение IDS: Это уведомление о том, что система обнаружила сетевую активность, соответствующую заранее определённым шаблонам угроз или аномалий. Обычно это является результатом анализа трафика.
Сообщение IDS: Это детализированная информация о событии или атаке, содержащая данные, такие как временные метки, IP-адреса, тип протокола и другие атрибуты, которые помогают в расследовании инцидента.
Как вы думаете, это оповещение было результатом неправильной настройки IDS или реальным подозрительным сообщением?
Для точного ответа требуется больше информации о контексте и текущем состоянии системы. Однако если оповещение связано с динамическим обновлением DNS, оно может быть как признаком нормальной сетевой активности (например, при обновлении адреса хоста), так и возможной попыткой злоумышленника изменить параметры DNS. Необходимо провести дальнейший анализ.
В Sguil выберите второе из оповещений от 19.03.2019. Щелкните правой кнопкой мыши идентификатор оповещения 5.440 и выберите Расшифровка.
Рисунок 51 - Транскрипт
Рисунок 52 - Вторая часть
Каковы IP-адреса и номера портов источника и назначения?
IP-адрес источника: 10.0.90.215
Порт источника: 49204
IP-адрес назначения: 209.141.34.8
Порт назначения: 80
Посмотрите на запрос (синий). В чем заключался запрос?
Запрос GET /test1.exe HTTP/1.1 указывает на то, что клиент (в данном случае, программа с User-Agent Mozilla/4.0 на Windows) запрашивает файл с именем test1.exe с веб-сервера. Это означает, что клиент хочет загрузить исполняемый файл с указанным веб-адресом.
Глядя на ответ (красный), многие файлы покажут свою файловую сигнатуру в первых нескольких символах файла при просмотре в виде текста. Файловые сигнатуры помогают определить тип представленного файла. Используйте веб-браузер для поиска списка общих файловых сигнатур.
Закройте расшифровку. Используйте Wireshark для экспорта исполняемого файла для анализа вредоносного ПО (Файл > Экспорт объектов > HTTP…). Сохраните файл в домашней папке аналитика.
Откройте терминал в Security Onion VM и создайте хэш SHA256 из экспортированного файла. Используйте следующую команду:
Рисунок 53 - Создание хэш
В Sguil выберите оповещение с идентификатором оповещения 5.480 и сообщением о событии Remcos RAT Checkin 23. Обратите внимание, что сигнатура IDS обнаружила Remcos RAT на основе двоичных шестнадцатеричных кодов в начале коммуникации.
Рисунок 54 - Sguil
Щелкните правой кнопкой мыши по идентификатору оповещения и выберите «Транскрипт».
Рисунок 55 - Транскрипт
Какой порт назначения сообщения? Это известный порт?
Порт назначения: 2404.
Да, это неизвестный порт. Он не принадлежит к категории стандартных или часто используемых портов, таких как 80 (HTTP) или 443 (HTTPS).
Можно ли прочитать сообщение или оно зашифровано?
Исходя из текста, сообщение выглядит как набор бинарных данных или зашифрованных символов, что указывает на возможность зашифрованной передачи данных. Для окончательной оценки требуется анализ содержимого и методологии.
Проведите онлайн-исследование по Remcos RAT Checkin 23. Что означает Remcos?
Remcos (Remote Control and Surveillance) — это вредоносное программное обеспечение (RAT — Remote Access Trojan), которое используется для удаленного контроля и мониторинга компьютеров. Оно позволяет злоумышленникам выполнять различные действия на целевом устройстве, включая запись клавиатуры, захват экрана, удаленное управление и другие вредоносные функции.
Какой тип коммуникации, по вашему мнению, передавался?
Вероятно, передавалась Команда и контроль (C2) информация, связанная с удаленным управлением и мониторингом. Это предполагает, что информация, возможно, была отправлена злоумышленниками для управления жертвой или получения данных с устройства.
Используйте Kibana для изучения оповещений
Во второй части используйте Kibana для дальнейшего расследования атаки 19 марта 2019 года.
Откройте Kibana и сузьте таймфрейм.
Войдите в Kibana, используя имя пользователя аналитика и пароль кибероператора.
Откройте Kibana (имя пользователя analytic и пароль cyberops), нажмите «Последние 24 часа» и вкладку «Абсолютный временной диапазон», чтобы изменить временной диапазон на 1 марта 2019 года по 31 марта 2019 года.
На шкале времени «Общее количество журналов за все время» будет показано событие 19 марта. Щелкните это событие, чтобы сузить фокус до определенного временного диапазона атаки.
Рисунок 56 - Событие 19 марта
Просмотрите оповещения в суженном временном интервале.
В панели управления Kibana прокрутите вниз до визуализации All Sensors - Log Type. Просмотрите обе страницы и обратите внимание на разнообразие типов журналов, связанных с этой атакой.
Рисунок 57 - Log Type
Рисунок 58 - Log Type 2 страница
Прокрутите вниз и обратите внимание, что сводка оповещений NIDS в Kibana содержит много тех же оповещений IDS, что и в Sguil. Щелкните лупу, чтобы отфильтровать второе оповещение ET TROJAN ABUSE.CH SSL Blacklist Обнаружен вредоносный сертификат SSL (Dridex) с исходного IP-адреса 31.22.4.176.
Рисунок 59 - Фильтрация
Прокрутите страницу вниз до пункта «Все журналы» и щелкните стрелку, чтобы развернуть первый журнал в списке с исходным IP-адресом 31.22.4.176.
Рисунок 60 - IP-адрес 31.22.4.176.
Рисунок 61 - Развернули
В какой географической стране и городе находится это оповещение?
IP-адрес 31.22.4.176 зарегистрирован в Грузии, город Тбилиси
Какая географическая страна и город соответствуют оповещению с адреса 115.112.43.81?
IP-адрес 115.112.43.81 соответствует Индии, город Бенгалуру
Прокрутите страницу обратно в начало и нажмите ссылку «Главная» в разделе «Навигация».
Ранее мы отметили типы журналов, такие как bro_http, перечисленные в панели управления Home. Вы можете фильтровать по различным типам журналов, но встроенные панели управления, вероятно, будут иметь больше информации. Прокрутите страницу обратно в начало и щелкните ссылку HTTP в панели управления под Zeek Hunting в Navigation.
Рисунок 62 - ссылка HTTP
Рисунок 63 - Результат
Сопоставьте HTTP-URI с HTTP-сайтами на панели управления.
Рисунок 64 - HTTP-URI с HTTP
С чем связаны файлы CSPCA.crl и ncsi.txt? Используйте веб-браузер и поисковую систему для получения дополнительной информации.
SPCA.crl:
Этот файл представляет собой Certificate Revocation List (CRL), который используется для проверки отозванных сертификатов в системах, использующих инфраструктуру открытых ключей (PKI). CRL содержит список цифровых сертификатов, которые были отозваны до их срока действия. Это позволяет системам удостоверяться, что сертификаты, которые они принимают, не являются недействительными. Это важно для обеспечения безопасного соединения и защиты от возможных атак, связанных с подменой сертификатов.
ncsi.txt:
Этот файл, как правило, связан с Network Connectivity Status Indicator (NCSI) в операционных системах Windows. NCSI используется для определения состояния подключения к интернету. Этот файл может содержать информацию о том, как проверить доступность интернет-сервисов или определить наличие соединения с интернетом, и помогает операционной системе обеспечивать стабильное интернет-соединение.
Прокрутите страницу обратно к началу и в разделе Navigation - Zeek Hunting нажмите DNS. Прокрутите до визуализации DNS Queries. Обратите внимание на страницу 1 и страницу 3 DNS-запросов.
Рисунок 65 - DNS Queries 1
Рисунок 66 - DNS Queries 3
Введите свои ответы здесь.
Вывод
Лабораторная работа, посвященная изоляции скомпрометированного хоста с использованием 5-кортежного метода и исследованию эксплойтов вредоносного ПО, предоставила ценную практическую информацию в области обработки инцидентов безопасности. За время выполнения работы удалось глубже понять процессы, связанные с расследованием атак на хосты Windows, а также применить полученные знания на практике через использование инструмента Sguil.
В ходе выполнения задач были сформулированы ключевые вопросы, касающиеся инцидентов, что позволило лучше ориентироваться в процедурах обработки событий безопасности. Анализ журналов при использования задокументированных уязвимостей стал важным этапом, который позволил идентифицировать скомпрометированные узлы и файлы, что подтверждает необходимость внимательного мониторинга и анализа логов в реальной практике кибербезопасности.
Работа с ресурсом malware-traffic-analysis.net также обогатила опыт в анализе сетевых и хостовых атак, предоставляя дополнительные инструменты для практического изучения киберугроз.
Санкт-Петербург
2024