У світі кібербезпеки, де все змінюється дуже швидко, важливо оперативно і ефективно реагувати на нові загрози. Чи то захист чутливих даних клієнтів для фінансової установи, чи захист особистих пристроїв — ставки дуже високі. У цьому блозі ми розглянемо кімнату Friday Overtime на платформі TryHackMe, практичний виклик, який імітує реальне розслідування випадку з шкідливим програмним забезпеченням.
Завдання 1: Сценарій виклику
Дисклеймер: Артефакти, використані в цьому сценарії, були отримані з реальної кібер-атаки. Тому рекомендується взаємодіяти з артефактами лише в межах наданої віртуальної машини, оскільки це ізольоване середовище.
Привіт, насичений вікенд...
Це п’ятничний вечір у PandaProbe Intelligence, коли на платформі CTI з’являється повідомлення. Хоча більшість вже чекає на вихідні, ви розумієте, що вам потрібно залишитись на понаднормово, оскільки SwiftSpend Finance відкрила новий квиток і висловила занепокоєння щодо потенційних загроз від шкідливого ПЗ. Фінансова компанія, відома своєю скрупульозною безпекою, натрапила на щось підозріле і потребує негайного експертного аналізу.
Як єдиний аналітик CTI, який залишився на зміні в PandaProbe Intelligence, ви швидко взяли на себе відповідальність, усвідомлюючи серйозність потенційного порушення в фінансовій установі. Квиток містив кілька вкладених файлів, ймовірно, зразків шкідливого ПЗ.
Підключення до машини
Щоб розпочати аналіз, потрібно підключитися до наданого віртуального середовища. Дотримуйтесь цих кроків:
- Запустіть ВМ у режимі розділеного екрана та зачекайте, поки ініціалізується платформа DocIntel.
- Увійдіть на платформу за наданими обліковими даними:
- Ім’я користувача:
ericatracy - Пароль:
Intel321!
Після входу перейдіть до розділу квитків, щоб розпочати розслідування.
Q1: Хто поділився зразками шкідливого ПЗ?
Вивчіть квиток на панелі DocIntel, щоб з’ясувати, хто поділився зразками шкідливого ПЗ. Зазвичай ім’я відправника вказано в деталях квитка.
A1: Олівер Беннетт
Q2: Який SHA1 хеш файлу “pRsm.dll” всередині samples.zip?
Завантажте файл samples.zip, доданий до квитка.
Розпакуйте вміст файлу за допомогою команди:
unzip samples.zip
Пароль для розпакування, як зазначено в квитку, — Panda321!.
Знайдіть файл pRsm.dll серед розпакованих файлів.
Обчисліть SHA1 хеш файлу pRsm.dll за допомогою наступної команди:
sha1sum pRsm.dll
A2: 9d1ecbbe8637fed0d89fca1af35ea821277ad2e8
Q3: Яка рамка шкідливого ПЗ використовує ці DLL як додаткові модулі?
Підказка: Пошукайте статтю чи звіт, що стосується артефактів.
Щоб визначити, яка рамка шкідливого ПЗ використовує pRsm.dll як додатковий модуль, я звернувся до відкритих джерел розвідки.
У швидкоплинному світі кібербезпеки важливо швидко та ефективно реагувати на нові загрози. Чи то захист чутливих даних клієнтів для фінансової установи, чи захист особистих пристроїв — ставки дуже високі. Цей блог занурює нас у кімнату Friday Overtime на платформі TryHackMe, практичний виклик, що імітує реальне розслідування випадку з шкідливим програмним забезпеченням.
Завдання 1: Сценарій виклику
Дисклеймер: Артефакти, використані в цьому сценарії, були отримані з реальної кібер-атаки. Тому рекомендується взаємодіяти з артефактами лише в межах наданої віртуальної машини, оскільки це ізольоване середовище.
Привіт, насичений вікенд...
Це п’ятничний вечір у PandaProbe Intelligence, коли на платформі CTI з’являється повідомлення. Хоча більшість уже чекає на вихідні, ви розумієте, що вам потрібно залишитися на понаднормово, оскільки SwiftSpend Finance відкрила новий квиток і висловила занепокоєння щодо потенційних загроз від шкідливого ПЗ. Фінансова компанія, відома своєю ретельністю в питаннях безпеки, натрапила на щось підозріле і потребує негайного експертного аналізу.
Як єдиний аналітик CTI, який залишився на зміні в PandaProbe Intelligence, ви швидко взяли на себе відповідальність, усвідомлюючи серйозність можливого порушення в фінансовій установі. Квиток містив кілька вкладених файлів, ймовірно, зразків шкідливого ПЗ.
Підключення до машини
Щоб розпочати аналіз, потрібно підключитися до наданого віртуального середовища. Дотримуйтесь цих кроків:
- Запустіть ВМ у режимі розділеного екрана та зачекайте, поки ініціалізується платформа DocIntel.
- Увійдіть на платформу за наданими обліковими даними:
- Ім’я користувача:
ericatracy - Пароль:
Intel321!
Після входу перейдіть до розділу квитків, щоб розпочати розслідування.
Q1: Хто поділився зразками шкідливого ПЗ?
Перегляньте квиток на панелі DocIntel, щоб з’ясувати, хто поділився зразками шкідливого ПЗ. Зазвичай ім’я відправника вказано в деталях квитка.
A1: Олівер Беннетт
Q2: Який SHA1 хеш файлу “pRsm.dll” всередині samples.zip?
Завантажте файл samples.zip, доданий до квитка.
Розпакуйте вміст файлу за допомогою команди:
unzip samples.zip
Пароль для розпакування, як зазначено в квитку, — Panda321!.
Знайдіть файл pRsm.dll серед розпакованих файлів.
Обчисліть SHA1 хеш файлу pRsm.dll за допомогою наступної команди:
sha1sum pRsm.dll
A2: 9d1ecbbe8637fed0d89fca1af35ea821277ad2e8
Q3: Яка рамка шкідливого ПЗ використовує ці DLL як додаткові модулі?
Підказка: Пошукайте статтю чи звіт, що стосується артефактів.
Щоб визначити, яка рамка шкідливого ПЗ використовує pRsm.dll як додатковий модуль, я звернувся до відкритих джерел розвідки.
Шукайте pRsm.dll malware framework.
Перший результат привів до цікавого артикулу від ESET про Evasive Panda APT Group.
[
Група Evasive Panda APT доставляє шкідливе ПЗ через оновлення для популярного китайського програмного забезпечення
Дослідження ESET виявляє кампанію APT-групи, відомої як Evasive Panda, яка націлилася на міжнародну НУО в Китаї з…
www.welivesecurity.com
](https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/?source=post_page-----e10602c57ebc--------------------------------)
Відкрийте статтю ESET Research.
Прокрутіть до розділу “Key points of the report”.
Уважно прочитайте ці пункти, щоб зрозуміти поведінку шкідливого ПЗ.
Останній ключовий пункт вказує, що шкідливе ПЗ працює як модульна платформа з можливістю підключення плагінів.
A3: MgBot
Q4: Яка техніка MITRE ATT&CK пов’язана з використанням pRsm.dll в цій рамці шкідливого ПЗ?
Поверніться до статті ESET Research.
Використовуйте функцію пошуку браузера (“Find”) (гаряча клавіша: Ctrl + F), щоб знайти pRsm.dll в статті.
Ключове спостереження вказує, що pRsm.dll захоплює вхідні та вихідні аудіопотоки.
Порівнюючи цю поведінку з техніками MITRE ATT&CK, пов’язана техніка — T1123 — Audio Capture, яка належить до тактики “Collection”.
A4: T1123
Q5: Яка CyberChef дефангована URL-адреса шкідливого місця завантаження, яке було вперше зафіксовано 2020–11–02?
Перейдіть до розділу “Technical Analysis” в статті ESET, де описуються місця завантаження шкідливого ПЗ.
Огляньте Таблицю 1 в цьому розділі, де перераховані URL-адреси та їхні деталі.
Знайдіть URL з датою “First Seen” як 2020–11–02.
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe
Щоб дефангувати шкідливу URL-адресу, відкрийте CyberChef, чудовий інструмент для трансформації та безпечної обробки URL.
[
CyberChef
Швейцарський ніж для кібер-безпеки - веб-застосунок для шифрування, кодування, стиснення та аналізу даних
gchq.github.io
](https://gchq.github.io/CyberChef/?source=post_page-----e10602c57ebc--------------------------------)
Перетягніть операцію Defang URL у розділ “Recipe” на лівій панелі.
Далі вставте виявлену URL-адресу в поле “Input” на правій панелі.
Дефангована версія URL автоматично з’явиться в розділі “Output”, готова до безпечної обробки та звітування.
A5: hxxp[://]update[.]browser[.]qq[.]com/qmbs/QQ/QQUrlMgrQQ884296.exe
Q6: Яка CyberChef дефангована IP-адреса C&C сервера, що була вперше виявлена 2020–09–14 за допомогою цих модулів?
Щоб знайти IP-адресу сервера Command and Control (C&C), вперше виявлену 2020–09–14, я звернувся до деталей, наданих в статті ESET.
Використовуйте функцію пошуку браузера (Ctrl + F), щоб знайти дату 2020-09-14.
Щоб підготувати IP-адресу для правильної обробки в CyberChef, я видалив всі квадратні дужки [] з її формату.
Отже, IP-адреса: 122.10.90.12
Щоб дефангувати IP-адресу C&C сервера MgBot, відкрийте CyberChef.
Видаліть попередню операцію Defang URL, перетягнувши її назад до стовпця операцій ліворуч.
Перетягніть операцію Defang IP Addresses в розділ Recipe.
Вставте виявлену IP-адресу в поле “Input”.
Дефангована IP-адреса з’явиться в розділі Output.
A6: 122[.]10[.]90[.]12
Q7: Який SHA1 хеш шпигунського ПЗ сімейства SpyAgent, яке розміщене на тій самій IP-адресі і націлене на Android-пристрої 16 листопада 2022 року?
Підказка: Інструменти на кшталт VirusTotal або app.any.run можуть допомогти з цим.
[
VirusTotal
VirusTotal
VirusTotalwww.virustotal.com
](https://www.virustotal.com/gui/home/upload?source=post_page-----e10602c57ebc--------------------------------)
Перейдіть на VirusTotal та вставте раніше виявлену IP-адресу: 122.10.90.12 в поле пошуку, щоб відкрити сторінку виявлень.
Оскільки ми шукаємо шпигунське ПЗ SpyAgent, пов’язане з цією IP-адресою, наступний крок — перевірити її зв’язки.
Клікніть на вкладку Relations, щоб переглянути різні з’єднання, пов’язані з цією IP-адресою.
Знайдіть файл Android в розділі Communicating Files та натисніть на його Назву, щоб відкрити його сторінку виявлення.
На новій сторінці виявлення перейдіть до розділу Details та знайдіть SHA1 хеш у підрозділі Basic Properties.
A7: 1c1fe906e822012f6235fcc53f601d006d15d7be
Висновок
Задача Friday Overtime надала безцінну можливість застосувати методи реального аналізу шкідливого ПЗ в контрольованому середовищі. Завдяки ідентифікації артефактів, аналізу шкідливої поведінки та відображенню висновків на таких фреймворках, як MITRE ATT&CK, ця вправа підкреслила важливість структурованих методів для розуміння тактик загрозливих акторів.
Інструменти, такі як CyberChef та VirusTotal, виявилися надзвичайно корисними для дефангу шкідливих URL, обробки IP-адрес та виявлення критичної інформації про загрози. Ці кроки підкреслили важливість точності та уваги до деталей, що є необхідними для ефективного пом’якшення загроз і захисту даних.
Цей виклик також став нагадуванням про важливу роль, яку аналітики CTI відіграють у забезпеченні конфіденційних даних та реагуванні на еволюціонуючі кіберзагрози. Він підкреслив важливість безперервного навчання, оновлення знань про фреймворки загроз і адаптації до постійно змінюваної кібер-безпекової ситуації. Розвиваючи ці аналітичні навички, ми стаємо краще підготовленими для захисту цифрових екосистем і боротьби з новими загрозами.
Шукайте pRsm.dll malware framework.
Перший результат вказав на цікаву статтю від ESET про Evasive Panda APT Group.
[
Група Evasive Panda APT доставляє шкідливе ПЗ через оновлення для популярного китайського програмного забезпечення
Дослідження ESET виявляє кампанію APT-групи, відомої як Evasive Panda, яка націлила міжнародну НГО в Китаї з…
www.welivesecurity.com
](https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/?source=post_page-----e10602c57ebc--------------------------------)
Відкрийте статтю ESET Research.
Прокрутіть до розділу “Key points of the report”.
Уважно прочитайте ці пункти, щоб зрозуміти поведінку шкідливого ПЗ.
Останній ключовий пункт вказує, що шкідливе ПЗ працює як модульна платформа з можливістю підключення плагінів.
A3: MgBot
Q4: Яка MITRE ATT&CK техніка пов’язана з використанням pRsm.dll в цій платформі шкідливого ПЗ?
Поверніться до статті ESET Research.
Використовуйте функцію пошуку браузера (“Find”) (скорочення: Ctrl + F), щоб знайти pRsm.dll у статті.
Ключовим висновком є те, що pRsm.dll захоплює вхідні та вихідні аудіо потоки.
Згідно з цією поведінкою, відповідна MITRE ATT&CK техніка — це T1123 — Audio Capture, що належить до тактики “Collection”.
A4: T1123
Q5: Яка CyberChef дефангована URL-адреса шкідливого файлу для завантаження, яка була вперше виявлена 2020-11-02?
Перейдіть до розділу “Technical Analysis” у статті ESET, де детально описано місця для завантаження шкідливих файлів.
Перегляньте таблицю 1 в цьому розділі, яка містить URL-адреси та їхні деталі.
Знайдіть URL з датою “First Seen” 2020-11-02.
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe
Щоб дефангувати шкідливу URL-адресу, відкрийте CyberChef, чудовий інструмент для трансформації URL і обробки даних з метою безпеки.
[
CyberChef
Кібер-Швейцарський Ніж - веб-додаток для шифрування, кодування, стиснення та аналізу даних
gchq.github.io
](https://gchq.github.io/CyberChef/?source=post_page-----e10602c57ebc--------------------------------)
Перетягніть операцію Defang URL в розділ “Recipe” зліва.
Наступним кроком вставте виявлену URL-адресу в поле “Input” праворуч.
Дефангована URL-адреса автоматично з’явиться в розділі “Output”, готова до безпечного використання та звітності.
A5: hxxp[://]update[.]browser[.]qq[.]com/qmbs/QQ/QQUrlMgrQQ884296.exe
Q6: Яка CyberChef дефангована IP-адреса C&C сервера, вперше виявленого 2020-09-14, який використовує ці модулі?
Щоб знайти IP-адресу Command and Control (C&C) сервера, вперше виявленого 2020-09-14, я звернувся до деталей у статті ESET.
Використовуйте функцію пошуку браузера (Ctrl + F), щоб знайти дату 2020-09-14.
Щоб підготувати IP-адресу для обробки в CyberChef, я видалив квадратні дужки [] з її формату.
Отже, IP-адреса така: 122.10.90.12
Щоб дефангувати IP-адресу C&C сервера MgBot, відкрийте CyberChef.
Видаліть попередню операцію Defang URL, перетягнувши її назад у колонку операцій зліва.
Перетягніть операцію Defang IP Addresses в секцію Recipe.
Вставте ідентифіковану IP-адресу в поле "Input".
Заблокована IP-адреса з'явиться в секції Output.
A6: 122[.]10[.]90[.]12
Q7: Який SHA1 хеш шпигунського ПЗ родини spyagent, яке розміщене на тій самій IP-адресі і націлене на Android пристрої, було виявлено 16 листопада 2022 року?
Підказка: Інструменти, як VirusTotal або app.any.run, можуть допомогти в цьому.
[
VirusTotal
VirusTotal
VirusTotalwww.virustotal.com
](https://www.virustotal.com/gui/home/upload?source=post_page-----e10602c57ebc--------------------------------)
Перейдіть на VirusTotal, і вставте раніше ідентифіковану IP-адресу: 122.10.90.12 в пошуковий рядок для відкриття сторінки Detections.
Оскільки ми шукаємо шпигунське ПЗ SpyAgent, яке пов'язане з цією IP-адресою, наступний крок — перевірити його зв'язки.
Натисніть на вкладку Relations для перегляду різних з'єднань, асоційованих з цією IP-адресою.
Знайдіть файл Android в секції Communicating Files та натисніть на його ім'я, щоб відкрити його сторінку виявлення.
На новій сторінці виявлення перейдіть в секцію Details і знайдіть SHA1 хеш у підсекції Basic Properties.
A7: 1c1fe906e822012f6235fcc53f601d006d15d7be
Висновок
Задача Friday Overtime надала безцінну можливість застосувати реальні методи аналізу шкідливих програм в контрольованому середовищі. Ідентифікуючи артефакти, аналізуючи шкідливу поведінку та мапуючи результати на такі фреймворки, як MITRE ATT&CK, ця вправа підкреслила важливість структурованих методологій для розуміння тактик зловмисників.
Інструменти, такі як CyberChef та VirusTotal, виявилися незамінними для блокування шкідливих URL-адрес, обробки IP-адрес і збору критичної розвідки щодо загроз. Ці кроки показали важливість точності та уважності до деталей, що є необхідними для ефективного зменшення загроз і захисту даних.
Ця задача також нагадала про важливу роль аналітиків CTI у захисті чутливих даних і відповіді на еволюцію кіберризиків. Вона підкреслила важливість безперервного навчання, оновлення знань про фреймворки розвідки загроз і адаптації до постійно змінюваного кібербезпекового середовища. Вдосконалюючи ці аналітичні навички, ми краще підготовлені для захисту цифрових екосистем і боротьби з новими загрозами.
Перекладено з: TryHackMe Chronicles: Lessons from the Friday Overtime Room