Рис.13.5

Вдополнение к этомутакже убедитесь,что вы собираете сетевыетрассиров- ки, используя Wireshark, когда имеете дело с расследованием в реальном вре- мени. При необходимости используйте утилиту procdump с сайта Sysinternals, чтобы создать дамп скомпрометированного процесса.

Исследование скомпрометированной системы внутри организации

Для первого сценария мы будем использовать компьютер, скомпрометиро- ванный после того, как конечный пользователь открыл фишинговое письмо, которое выглядиттак, как показано на рис. 13.6.

Конечный пользователь находился в филиале в Бразилии, следовательно, письмо написано на португальском языке. Содержание этого письма вызы- вает некоторое беспокойство, поскольку в нем говорится о продолжающемся судебном процессе,и пользователюлюбопытно посмотреть,действительноли онимееткэтомукакое-либоотношение.Прочитавписьмо,оннезаметил,что- бы что-то произошло. Он не придал этому инциденту значения и продолжил работу. Пару дней спустя он получил от IT-службы автоматическое сообщение отом,что он зашел на подозрительный сайти ему следуетобратиться в службу поддержки, чтобы проконсультироваться по этому запросу.

Рис.13.6

Он позвонил в службу поддержки и объяснил, что единственное подозри- тельное действие, которое он помнит,– это открытие странного электронного письма, которое он представил в качестве доказательства. Когда его спросили о том,что он сделал,пользователь объяснил,что щелкнул на изображение,ко- торое,по-видимому,шло в виде вложения,полагая,что он мог бы скачать его, но ничего не скачалось. Только промелькнуло открывающееся окно, которое быстро исчезло, и ничего более.

Первый этап расследования–подтверждение URL-адреса,который был свя- зан с изображением в электронном письме. Самый быстрый способ провер- ки – использование VirusTotal, который в этом случае возвращает следующее значение (тест выполнен 15 ноября 2017 г.) – рис. 13.7.

Это уже убедительный признак того, что этот сайт вредоносный. На тот мо- мент возник вопрос: что такого он загрузил в систему пользователя, что его не обнаружила установленная локально антивирусная программа? Если нет никаких признаков компрометации со стороны вредоносного ПО и имеются признаки того, что вредоносный файл был успешно загружен в систему, сле­ дующим шагом обычно является проверка журналов событий.

Рис.13.7

Используя Windows Event Viewer, мы отфильтровали событие безопасности для идентификатора события 4688 и приступили к изучению каждого отдель- ного события, пока не нашли это:

Description:

A new process has been created.

Как видно, это печально известный mimikatz. Он широко используется при атаках с целью кражи учетных данных, таких как Pass-the-Hash. Дальнейший анализ показывает, что у этого пользователя не должно было быть возможно- сти запускать эту программу, поскольку у него нет прав администратора. По- этому мы начали искатьдругие инструменты,которые могли быть выполнены до этого, и нашли следующее:

Process Information:

New Process ID: 0x510

New Process Name: C:tempToolsPSExecPsExec.exe

PsExec обычно используется злоумышленниками для запуска командной строки(cmd.exe)сповышенными(системными)привилегиями.Позжемытак- же нашли еще одно событие 4688:

Process Information:

New Process ID: 0xc70

New Process Name: C:tempToolsProcDumpprocdump.exe

ProcDump обычно используется злоумышленниками для выгрузки учетных данных из процесса lsass.exe.До сих пор не было ясно,как Жозе удалось полу- чить привилегированный доступ,и одна из причин заключается в том,что мы нашли событие с кодом 1102, которое показывает, что в какой-то момент до запуска этих утилит он очистил журнал на локальном компьютере:

Description:

The audit log was cleared.

Subject:

Security ID: BRANCHBRJose

Account Name: BRANCHBR

Domain Name: BRANCHBR

Logon ID: 0x3D3214