Наша организация dummCorp подверглась атаке шифровальщика. По логам мы нашли потенциальный промежуток времени,когда вероятнее всего произошли доставка и заражение,с нашего сетевого оборудования мы смогли снять трафик за вышеуказанный период. Необходимо получить ключ шифрования и расшифровать файл с критичной информацией
public/flag.encrypted,public/malware_autopsy.pcap
Открываем файл malware_autopsy.pcap в wireshark. Затем проводим анализ статистики передаваемых данных в дампе трафика: Statistics -> IPv4 statistics Находим ip c наибольшим процентом от общего объема трафика
Далее применяем фильтр с полученным ip адресом:
Отсеиваем все шифрованные соединения по причине невозможности анализа передаваемых данных без дешифрования:
Понимаем, что данных все еще очень много , поэтому подолжаем сужать область поиска, отфильтровываем keep-alive пакеты
Теперь можно изучить содержимое сессий: Analyze -> Follow -> TCP Stream
Находим интересную сессию с smtp
Понимаем,что это письмо с вложением,потенциально и является моментом доставки вредоноса в компанию
Извлекаем вложение из трафика, можно использовать специальные инструменты по типу networkminer или foremost, но можно просто скопировать в виде текста base 64 строку и затем декодировать ее с помощью утилиты base64
┌──(kali㉿kali)-[~/Downloads] cat base64_string.txt | base64 -d > Nov-19-Request-Scan_82_docx.iso
Монтируем образ
┌──(kali㉿kali)-[~/Downloads] mount -o loop,rw Nov-19-Request-Scan_82_docx.iso /mnt
Обнаруживаем внутри LNK файл с командой на вызов утилиты regasm.exe, и в параметрах вызова указана библиотека testdll.dll, казалось бы в образе ее нет, но изучив инструментами по типу foremost или же просто открыв образ в Midnight Commander, или в Windows открыть с помощью WinRAR мы видим, что в образе присутствует данная библиотека.
Использование утилиты regasm.exe говорит нам о том,что библиотека написана на .NET, убеждаемся в этом :
kali㉿kali)-[/mnt file testdll.dll
testdll.dll: PE32 executable (DLL) (console) Intel 80386 Mono/.Net assembly, for MS Windows
Используем инструменты для анализа бинарных файлов, написанных на .NET , чтобы получить исходный код (ILSpy,Resharper, etc)
Изучая код, понимаем,что библиотека скачивает что-то из внешнего источника, адрес которого обфусцирован функцией MkAddr
Восстанавливаем адрес
https://raw.githubusercontent.com/qweasader/tskcp/main/enc.txt ( теперь файл можно найти в папке dev/ )
Cкачиваем файл и видим base64
Декодируем
kali㉿kali)-[~/Downloads cat base64_string.txt | base64 -d > some_file
Определяем тип файла
kali㉿kali)-[~/Downloads file some_file
some_file: PE32 executable (DLL) (console) Intel 80386 Mono/.Net assembly, for MS Windows
т.к это снова .NET поступаем аналогично используя ILSpy
Видим,что использется AES в качестве алгоритма шифрования, восстанавливаем ключ и настройки шифрования, дешифруем файл flag.encrypted
CUP{y0u_5uff3r3d_f0r_th1s_5tr1n9}