Unit42
Classificação: Very Easy
Categoria: DFIR
Cenário:
Neste laboratório Sherlock, você se familiarizará com os logs do Sysmon e vários IDs de evento úteis para identificar e analisar atividades maliciosas em um sistema Windows. A Unit42 de Palo Alto conduziu recentemente uma pesquisa sobre uma campanha do UltraVNC, na qual os atacantes utilizaram uma versão com backdoor do UltraVNC para manter o acesso aos sistemas. Este laboratório é inspirado nessa campanha e guia os participantes pela fase inicial de acesso.
Questões
1- Quantos registros de eventos existem com o ID de evento 11?
Analisar o log sysmon com a ferramenta EvtxECmd.exe, de Eric Zimmerman e gerar os resultados em formato CSV
A saída exibirá um resumo rápido do número de eventos para cada ID de evento so Sysmon.
Resposta: 56
2- Sempre que um processo é criado na memória, um evento com ID 1 é registrado com detalhes como linha de comando, hashes, caminho do processo, caminho do processo pai, etc. Essas informações são muito úteis para um analista, pois permitem visualizar todos os programas executados em um sistema, o que significa que podemos identificar quaisquer processos maliciosos em execução. Qual é o processo malicioso que infectou o sistema da vítima?
Para identificar qual processo malicioso infectou o sistema, analisei os eventos de criação de processo (Sysmon Event ID 1).
Após extrair o Sysmon via EvtxECmd e carregar os dados no Timeline Explorer, filtrei por EventID = 1 e investiguei processos executados a partir de diretórios suspeitos.
Resposta: C:\Users\CyberJunkie\Downloads\Preventivo24.02.14.exe.exe
3- Qual serviço de armazenamento em nuvem foi usado para distribuir o malware?
Para identificar o serviço de nuvem utilizado para distribuir o malware, analisei os eventos Sysmon responsáveis por criação de processos, conexões de rede e consultas DNS (Event ID 1, 3 e 22).
os registros de data e hora demonstram que o arquivo malicioso 'Preventivo24.02.14.exe.exe' foi baixado segundos após o usuário acessar dropbox.com
Resposta: Dropbox
4- O arquivo malicioso inicial alterou a data e hora (uma técnica de evasão de defesa, na qual a data de criação do arquivo é alterada para parecer antiga) de muitos arquivos que criou no disco. Qual foi a data e hora alterada para um arquivo PDF?
O ID de evento 2 do Sysmon (Um processo alterou a hora de criação de um arquivo) pode ser usado para identificar alterações de data e hora. Vou criar um filtro global para 'PDF' e, em seguida, expandir o ID de evento 2:
Resposta: 2024-01-14 08:10:06
5- O arquivo malicioso criou alguns arquivos no disco. Onde o arquivo “once.cmd” foi criado no disco? Por favor, responda com o caminho completo e o nome do arquivo.
Ao analisar os eventos Sysmon de criação de arquivo (Event ID 11) no Timeline Explorer, filtrei o log para localizar o arquivo once.cmd criado pelo malware.
O campo TargetFilename indicou o caminho completo onde o arquivo foi escrito no disco e posteriormente movido para o diretório C:\Games
Resposta: C:\Users\CyberJunkie\AppData\Roaming\Photo and Fax Vn\Photo and vn 1.1.2\install\F97891C\WindowsVolume\Games\once.cmd
6- O arquivo malicioso tentou acessar um domínio fictício, provavelmente para verificar o status da conexão com a internet. A qual domínio ele tentou se conectar?
Para identificar o domínio que o malware tentou acessar, analisei os eventos Sysmon de rede (Event ID 3) e consultas DNS (Event ID 22) no Timeline Explorer.
Ao filtrar esses eventos e procurar por domínios externos, encontrei um domínio fictício acessado pelo executável malicioso
Resposta: www.example.com
7- Qual endereço IP o processo malicioso tentou contatar?
Ao analisar os eventos Sysmon de conexão de rede (Event ID 3) no Timeline Explorer, filtrei os eventos gerados pelo processo malicioso identificado anteriormente. Na coluna DestinationIp, encontrei o endereço IP que o malware tentou contatar
Resposta: 93.184.216.34
8- O processo malicioso se encerrou após infectar o PC com uma variante do UltraVNC com backdoor. Quando o processo se encerrou?
Para determinar quando o processo malicioso foi encerrado, filtrei todos os eventos do Sysmon associados ao seu ProcessGuid no Timeline Explorer.
A partir disso, identifiquei o evento Process Terminated (Event ID 5), que registra a finalização do processo.
Resposta: 2024-02-14 03:41:58
Last updated