Кто не читал предыдущие статьи - возможно будет полезно.
Найти их легко - подпишитесь на этот канал и зайдите статьи, я старался нумеровать их.
Для тех, кто с нами уже давно - продолжаем разбор.
Итак, у нас есть несколько маркеров, собранных на предыдущем этапе:
c:\windows\update.exe, c:\windows\debug\item.dat, c:\windows\help\lsmosee.exe, c:\windows\debug\ok.dat, c:\windows\inf\aspnet\lsma12.exe.
Быстрый просмотр показал, что на диске имеется только последний из маркеров:
Восстанавливаем файл и пихаем его в какой-нибудь отладчик.
С наскоку попробую в IDA Pro x64, но она дико заругалась - очевидно файл упакован. Попробуем снять защту. Откроем в x96dbg. Я увидел следующее с наскоку:
Секции UPX (что как бы намекает немного). Пробуем распаковать EXE тем же UPX-ом (качать тут):
Получилось. Теперь попробуем открыть файл в IDA Pro. Файл чудесно скушался... Поглядим, что в нём есть интересного.
(если честно, файл очень тяжёлый - такое чувство, что в него понапихано много чего.. и сбор информации о системе и готовые чужеродные модули опенсорс, и даже генератор конфигов для майнеров:
Очень-очень много строк, на которые не ведут перекрёстные ссылки - фактически вероятнее всего неиспользуемые фрагменты кода... Честно, даже смотреть особо не интересно. Отложим до лучших времён.
Почему же не было остальных маркеров? Наиболее вероятная причина - указанные задания ещё не были выполнены. Либо возникли какие-то проблемы на сетевом уровне и файлы не скачались.
Теперь сделаем кое-что важное - посмотрим время создания тасков и перейдём на вкладку "Время создания". Найдём нужный нам день и отсортируем все файлы по столбцу времени создания. Так мы примерно увидим хронологию появления новых файлов в системе:
Сразу в глаза бросается множество маркеров вида a.txt. Покрутим список немного вверх и немного вниз - примерно увидим время, когда началось внедрение. Попутно нашёлся ещё целый каталог с барахлом:
Восстановлю его и прогоню каким-нибудь антивирусом:
По спецификации Kaspersky Lab файлы относятся к "Trojan.Win32.ShadowBrokers.*"
Ну это не так интересно, поищем что-нибудь любопытное...
Файл chrome.xml содержит Эксплойт "DoublePulsar":
А вот содержимое некого s.bat файла:
Меня заинтересовала вторая строка - где указан диапазон адресов. Сам файл svchost.exe лежит тут же. Попробуем посмотреть, что у него под капотом... Похоже на какой-то сетевой сканер:
Рассчитаем SHA256-хеш файла (я использую hashmyfiles.exe из комплекта Nirsoft), затем по хешу сделаем поиск на сайте virustotal.com:
Результаты подтверждают догадку: сетевой сканер...
По всей видимости взломанную машину использовали как точку для дальнейших атак на другие узлы. Причём диапазон известен.
Эх, жаль, не поставили запись трафика - исследование было бы куда интереснее. Итак, по результатам - у нас чрезвычайно много маркеров, большинство из которых детектируется антивирусом. Некоторые - весьма любопытные попадаются.
Если понравилось - подписывайся на канал и ставь лайк! Это стимулирует продолжать исследование. И да, я обязательно найду кое-что интересное.