Добро пожаловать обратно, начинающие судебные следователи!
Сегодня мы продолжим изучение цифровой криминалистики, разобрав практический пример. Мы уже заложили основу для понимания принципов криминалистики, но теперь пора применить теорию на практике. Сегодня мы проанализируем вредоносный USB-накопитель, который часто используется для доставки вредоносных данных, и рассмотрим, как эксперты-криминалисты анализируют его компоненты, чтобы выявить потенциальные угрозы.
USB-накопители остаются популярным вектором атак, поскольку эксплуатируют человеческое любопытство и доверие. Зачастую самым сложным этапом кибератаки является доставка вредоносной нагрузки к цели. Многие пользователи с осторожностью относятся к загрузке неизвестных файлов из интернета, но физические носители, такие как USB-накопители, позволяют обойти эти сомнения. Кто откажется от бесплатного USB-накопителя? Как показано в фильме «Мистер Робот», злоумышленник может оставить USB-накопитель в общественном месте, надеясь, что кто-то любопытный подберёт его и подключит. После подключения вредоносная нагрузка может запускаться автоматически или после того, как жертва откроет документ. Хотя это простая стратегия, любопытство остаётся мощным мотиватором, которым хакеры постоянно пользуются.
(Подробнее: https://hackers-arise.com/mr-robot-hacks-how-elliot-hacked-the-prison/)
Криминалистическое расследование подобных инцидентов крайне важно. При подключении USB-накопителя к системе изменения могут происходить мгновенно, иногда оставляя следы, которые трудно обнаружить или устранить. Понимание точного механизма этих изменений помогает нам восстановить события, оценить ущерб и разработать стратегии его устранения. Сегодня мы рассмотрим, как USB-накопитель с функцией автозапуска и вредоносный PDF-файл могут поставить под угрозу безопасность системы, и как аналитики анализируют такие угрозы.
После извлечения мы идентифицируем два ключевых файла: PDF-документ и файл конфигурации автозапуска. Давайте узнаем немного о каждом из них.
В современных системах Windows функция автозапуска по умолчанию отключена, но злоумышленник, вероятно, рассчитывал на человеческое любопытство, чтобы гарантировать, что документ всё равно будет открыт. Несмотря на свою актуальность, этот метод остаётся эффективным в средах со старыми системами, что часто встречается в государственных и корпоративных сетях со строгими финансовыми или эксплуатационными ограничениями. Даже сегодня файлы автозапуска могут служить запасным вариантом, повышающим вероятность заражения.
Чтобы проверить магические байты:
bash$ > xxd README.pdf | head
В данном случае файл является корректным PDF-файлом. Открытие файла на первый взгляд кажется безопасным, что позволяет нам прочитать его содержимое без каких-либо подозрений. Однако криминалистическое расследование не может ограничиться поверхностным осмотром. Мы продолжим проверку MD5-хеша по базам данных вредоносных программ:
bash$ > md5sum README.pdf
VirusTotal и аналогичные сервисы подтверждают наличие вредоносного ПО в файле. На этом этапе неспециалист может считать расследование завершенным, но криминалистам необходимо более глубокое понимание поведения файла после его запуска.
Ключевые наблюдения в данном случае включают множественные экземпляры msiexec.exe. Хотя это может указывать на обновление или исправление Adobe Acrobat, нам необходимо проанализировать это более тщательно. Вредоносные PDF-файлы часто используют уязвимости Acrobat для выполнения дополнительного кода.
Далее переходим в AnyRun и получаем граф поведения. Мы видим дочерние процессы, например, rdrcef.exeзапущенные сразу после открытия.
Гибридный анализ выявил, что PDF-файл содержит встроенный поток JavaScript, использующий this.exportDataObject(...). Эта функция позволяет документу автоматически извлекать и сохранять встроенные файлы. Файл также определяет /Launchдействие, ссылающееся на выполнение команд Windows и системные пути, включая cmd /Cпеременные среды, такие как %HOMEDRIVE%%HOMEPATH%.
Скрипт пытается перейти в несколько пользовательских каталогов на английском и испанском языках, таких как «Рабочий стол», «Мои документы», «Документы», «Escritorio», «Mis Documentos», прежде чем выполнить полезную нагрузку README.pdf. Такое вредоносное ПО может быть разработано для работы в системах Северной и Южной Америки. На этом этапе вредоносное ПО действует как дроппер, копируя себя.
Чтобы оставаться в безопасности, будьте осторожны с неизвестными USB-накопителями и просматривайте незнакомые PDF-файлы в браузере или облаке, заблокировав JavaScript в настройках. Динамический анализ поведения с помощью таких платформ, как AnyRun, VirusTotal и Hybrid Analysis, помогает нам визуализировать эти угрозы в действии и понимать их влияние на системном уровне.
Сегодня мы продолжим изучение цифровой криминалистики, разобрав практический пример. Мы уже заложили основу для понимания принципов криминалистики, но теперь пора применить теорию на практике. Сегодня мы проанализируем вредоносный USB-накопитель, который часто используется для доставки вредоносных данных, и рассмотрим, как эксперты-криминалисты анализируют его компоненты, чтобы выявить потенциальные угрозы.
USB-накопители остаются популярным вектором атак, поскольку эксплуатируют человеческое любопытство и доверие. Зачастую самым сложным этапом кибератаки является доставка вредоносной нагрузки к цели. Многие пользователи с осторожностью относятся к загрузке неизвестных файлов из интернета, но физические носители, такие как USB-накопители, позволяют обойти эти сомнения. Кто откажется от бесплатного USB-накопителя? Как показано в фильме «Мистер Робот», злоумышленник может оставить USB-накопитель в общественном месте, надеясь, что кто-то любопытный подберёт его и подключит. После подключения вредоносная нагрузка может запускаться автоматически или после того, как жертва откроет документ. Хотя это простая стратегия, любопытство остаётся мощным мотиватором, которым хакеры постоянно пользуются.
(Подробнее: https://hackers-arise.com/mr-robot-hacks-how-elliot-hacked-the-prison/)
Криминалистическое расследование подобных инцидентов крайне важно. При подключении USB-накопителя к системе изменения могут происходить мгновенно, иногда оставляя следы, которые трудно обнаружить или устранить. Понимание точного механизма этих изменений помогает нам восстановить события, оценить ущерб и разработать стратегии его устранения. Сегодня мы рассмотрим, как USB-накопитель с функцией автозапуска и вредоносный PDF-файл могут поставить под угрозу безопасность системы, и как аналитики анализируют такие угрозы.
Анализ USB-файлов
Наше расследование начинается с извлечения файлов с USB-накопителя. Хотя в цифровой криминалистике существует множество методов извлечения данных с устройства, в данном случае для демонстрационных целей используется простой подход.
После извлечения мы идентифицируем два ключевых файла: PDF-документ и файл конфигурации автозапуска. Давайте узнаем немного о каждом из них.
Автозапуск
Файл автозапуска представляет собой устаревшую технологию, часто используемую в качестве резервного механизма для старых систем. Версии Windows до Windows 7 часто автоматически выполняли инструкции, встроенные в файлы автозапуска. В данном случае файл определяет, какой документ открыть, и даже устанавливает значок, чтобы файл выглядел как настоящий.
В современных системах Windows функция автозапуска по умолчанию отключена, но злоумышленник, вероятно, рассчитывал на человеческое любопытство, чтобы гарантировать, что документ всё равно будет открыт. Несмотря на свою актуальность, этот метод остаётся эффективным в средах со старыми системами, что часто встречается в государственных и корпоративных сетях со строгими финансовыми или эксплуатационными ограничениями. Даже сегодня файлы автозапуска могут служить запасным вариантом, повышающим вероятность заражения.
Анализ PDF
Затем мы анализируем PDF-файл. Перед открытием файла важно убедиться, что это действительно PDF-файл, а не замаскированный исполняемый файл. Магические байты, уникальные идентификаторы в начале файла, помогают нам определить его тип. Хотя эти байты можно изменять, их изменение может нарушить функциональность файла. Этот приём часто встречается при загрузке через веб-шелл, когда злоумышленники пытаются обойти фильтры типов файлов.Чтобы проверить магические байты:
bash$ > xxd README.pdf | head
В данном случае файл является корректным PDF-файлом. Открытие файла на первый взгляд кажется безопасным, что позволяет нам прочитать его содержимое без каких-либо подозрений. Однако криминалистическое расследование не может ограничиться поверхностным осмотром. Мы продолжим проверку MD5-хеша по базам данных вредоносных программ:
bash$ > md5sum README.pdf
VirusTotal и аналогичные сервисы подтверждают наличие вредоносного ПО в файле. На этом этапе неспециалист может считать расследование завершенным, но криминалистам необходимо более глубокое понимание поведения файла после его запуска.
Анализ динамического поведения
Криминалистические лаборатории предоставляют инструменты для безопасного наблюдения за поведением вредоносных программ. Такие платформы, как AnyRun, позволяют аналитикам моделировать запуск вредоносных программ и создавать подробные отчёты, включая снимки экрана, запущенные процессы и сетевую активность.
Ключевые наблюдения в данном случае включают множественные экземпляры msiexec.exe. Хотя это может указывать на обновление или исправление Adobe Acrobat, нам необходимо проанализировать это более тщательно. Вредоносные PDF-файлы часто используют уязвимости Acrobat для выполнения дополнительного кода.
Далее переходим в AnyRun и получаем граф поведения. Мы видим дочерние процессы, например, rdrcef.exeзапущенные сразу после открытия.
Гибридный анализ выявил, что PDF-файл содержит встроенный поток JavaScript, использующий this.exportDataObject(...). Эта функция позволяет документу автоматически извлекать и сохранять встроенные файлы. Файл также определяет /Launchдействие, ссылающееся на выполнение команд Windows и системные пути, включая cmd /Cпеременные среды, такие как %HOMEDRIVE%%HOMEPATH%.
Скрипт пытается перейти в несколько пользовательских каталогов на английском и испанском языках, таких как «Рабочий стол», «Мои документы», «Документы», «Escritorio», «Mis Documentos», прежде чем выполнить полезную нагрузку README.pdf. Такое вредоносное ПО может быть разработано для работы в системах Северной и Южной Америки. На этом этапе вредоносное ПО действует как дроппер, копируя себя.
Краткое содержание
В нашем исследовании мы продемонстрировали, насколько эффективны USB-накопители для распространения вредоносного ПО. Несмотря на современные средства защиты, такие как отключение функции автозапуска, человеческое поведение, особенно любопытство и жадность, остаётся ключевой уязвимостью. Злоумышленники адаптируются, комбинируя старые стратегии с новыми механизмами, такими как встроенный JavaScript и пути, зависящие от среды. Динамический поведенческий анализ, поддерживаемый такими платформами, как AnyRun, позволяет нам визуализировать эти угрозы в действии и понимать их влияние на системном уровне.Чтобы оставаться в безопасности, будьте осторожны с неизвестными USB-накопителями и просматривайте незнакомые PDF-файлы в браузере или облаке, заблокировав JavaScript в настройках. Динамический анализ поведения с помощью таких платформ, как AnyRun, VirusTotal и Hybrid Analysis, помогает нам визуализировать эти угрозы в действии и понимать их влияние на системном уровне.
