Почти все физические процессы бизнеса перешли в информационные системы, которые обрабатывают информацию на арендованных/собственных мощностях в простроенных корпоративных сетях. Такой подход позволил ускорить процесс обработки информации и тем самым позволил бизнесу стать более конкурентным. Однако система, в следствии ошибок при проектировании, написании кода имеет свои уязвимости, чем и пользуются нарушители реализуя различного рода угрозы. К примеру, после утечек из крупных банков к расследованию произошедших инцидентов подключились форензики.
В их арсенале содержится не только набор базовых системных утилит, но и мощные фреймворки, которые могут позволить провести автоматизированную аналитику и упростить работу с массивом данных! Рассмотрим в данной инструкции кейс расследования инцидента через данный фреймворк.
Подготовительные шаги
Сначала установим AutoPsy с официального сайта разработчика или обратимся к менеджеру пакетов Windows:
winget install SleuthKit.Autopsy 
После можем перейти в главное окно, где нас встречает меню с проектами. Выберем создание нового и укажем источник, с которого мы подключим наши данные:
Создадим новый проект об инциденте, где зададим директорию хранения наших данных и его название:
После будет создана пустая база данных для инцидента, где будут храниться артефакты и сущности, выберите источник данных:
А так же выберите основные модули, которые проведут аналитику вашего диска:
После AutoPsy начнет аналитику предоставленных данных, а так же их таксономизацию, что может занять значительное время!
Расследование
Для проведения расследования необходимо придерживаться концепции, при которой среди массива проанализированных данных с энергонезависимого накопителя. Необходимо найти IOC сущностей, артефакты от их процедур, инструменты: хеш ВПО, вредоносные IP/Domain/URL, записи в реестре, в логах и в сетевом трафике. Перейдем к диску и просмотрим его мета-данные:
Здесь мы можем увидеть краткую сводку по информации с диска, которая дает частичное понимание его состава по файлам. Слева представлено полноценное меню относительно, которого произошел парсинг диска. Ключевые элементы и сенситивные директории были найдены по шаблонам с помощью регулярных выражений.
Важно понимать, что данный инструмент, хоть и имеет различные модули, но в основном он занимается парсингом и таксономизацией, то бишь сбором Triage, но не аналитикой! А значит, что анализ данных в данном инструменте необходимо будет провести вручную. Для начала необходимо найти артефакт или атрибут проведенной атаки!
К примеру, проверим по логам интерпретатора PS какие действия могли бы быть выполнены в атаке. Для этого можем просмотреть файлы по пути C:\Users\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine, обратить внимание на C:\Windows\System32\WDI, где хранятся логи трассировки процессов или в классические EventLog C:\Windows\System32\winevt\Logs. В своем кейсе мы нашли подозрительную активность в виде выполняемых команд в интерпретаторе:
Здесь есть уже множество ключевых сущностей/артефактов, от которых можно найти взаимосвязь с иными ВПО, акторами инструментами, последовательно раскрывая цепочку. К примеру, видно, что подменили DNS-записи и теперь вместо ресурса в интернете, пользователь обратиться к машине в локальной сети. Найдем артефакты в виде сетевых запросов и иных действий с ресурсом, для этого введем домен в поиск AutoPsy:
Видим набор файлов, где уже упоминался данный домен, тут и логи трассировки процессов ETL, и метаданные бинарных файлов, и история поиска веба. По данным извлеченным из файла можно сделать вывод, что был скачан бинарник Sysinternals.exe с подменного сайта, как мы выяснили ранее. Для сбора доп.данных можем перейти в категории, которые позволят обогатить уже существующие сущности и артефакты. В пункте Source скриншота выше, нам известно, что нарушитель имел доступ к папке пользователя IEUser, перейдем к списку пользователей:
Теперь мы знаем, что аккаунт находится в домене и не представляет собой сервисную учетку. Можно собрать доп.данные относительно его UID, к примеру ПО, которое он устанавливал:
Помним, что в поиске был замечен установленный инструмент SDelete, который потенциально использовался для сокрытия следов активности. С вредоносного ресурса загружали, как раз потенциальный вредонос, проверим это.
Перейдем в пункт удаленных файлов, найдем Sysinternals и восстановим его, выбрав пункт Restore в контекстном меню.
Файл был помечен, как подозрительный, значит необходимо исследовать поведение данной сущности, тобишь искать артефакты. И данную цепочку взаимосвязанных сущностей можно продолжать очень долго, собрав набор из таких атрибутов и взаимосвязи между ними – артефактов, необходимо восстановить цепочку атаки.
Из дополнительных функций, можно использовать поиск доменов, записи о которых были оставлены на машине:
Можно формировать аналитику по временной шкале, для отслеживания активности в системе. Для этого перейдите к пункту TimeLine в верхнем меню:
Можно расставить фильтры по типам файлов, а так же временным промежуткам, доступна выгрузка результатов в CSV. Данный фреймворк является отличным инструментом для поиска атрибутов/артефактам, уже по известным данным и вряд ли подходит для автоматизированной аналитики. Однако является отличным парсером и инструментом для восстановления удаленных/поврежденных файлов!
Для выполнения тестов, вы можете использовать изолированную среду VPS сервера, на любой из двух платформ vStack cloud или же VMware cloud. Нажмем на кнопку Создать сервер и выберем конфигурацию, подходящую под наши задачи, затем нажмем кнопку Создать.
Потребуется некоторое время для развертывания серверных мощностей. После чего вы можете подключиться любым из удобных способов.
