Ім'я файлу: Курсовая Молоканов.docx
Розширення: docx
Розмір: 1259кб.
Дата: 17.11.2022
скачати

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

Національний технічний університет

«Харківський політехнічний інститут»

Кафедра «Системи інформації ім. В.О.Кравця ».

Курсова робота

З дисципліни « Адміністрування комп'ютерних мереж »

Виконав студент групи ІКМ 620-А

Молоканов Захар Захарович

Перевірив доцент

Дженюк Наталія Володимирівна

Харків 2022

ЗМІСТ

  1. Завдання

  2. Теоретична частина

  3. Практична частина (виконання завдання)

  4. Висновки

  5. Перелік джерел інформації


1.Обрав завдання.



2.В нас є деталі ,email-и, та IP-адреси.

Деталі:



  • Infected host name: Chris-Lyons-PC

  • Infected host IP address: 10.1.1.97

  • Infected host MAC address: 00:22:15:d4:7a:e7 (AsustekC_d4:9a:e7)



Пов’язана електронна пошта (небезпечний спам):

  • Date: Thursday 2017-12-14 at 18:14 UTC

  • Received: from 217.61.97.194 ([217.61.97.194])

  • From (spoofed): "Le Huong-accounts"

  • To: chris.lyons@supercarcenterdetroit.com

  • Subject: Fw: Re: PI no. SO-P101092262891

  • Attachment name: Proforma Invoice P101092292891 TT slip pdf.rar.zip



Пов’язане зловмисне програмне забезпечення:

SHA256 hash: 435bfc4c3a3c887fd39c058e8c11863d5dd1f05e0c7a86e232c93d0e979fdb28

  • File size: 228,458 bytes

File name: Proforma Invoice P101092292891 TT slip pdf.rar.zip


  • File description: Zip archive attached to the malspam



SHA256 hash: 9a9d7a41c404b9044a82727996d53222d996f03d71e4839245dbeeaf4c685f77

  • File size: 471,040 bytes

File name: Proforma Invoice P101092292891 TT slip pdf.rar.exe


  • File description: Extracted executable from the above zip archive



IP-адреси та домени з трафіку після зараження:



  • 162.213.255.172 port 80 - www.ellentscm.info

  • 34.233.12.25 port 80 - www.jvfilmmakers.com

  • 47.93.157.247 port 80 - www.yunshangcms.com (no response from the server)

  • 209.15.20.221 port 80 - www.sparkyoursukha.com

  • 198.105.244.228 port 80 - www.jufa123.com

  • 198.187.29.22 port 80 - www.seorowipe.com

  • 69.164.223.38 port 80 - www.texowipu14.win

  • 81.169.145.159 port 80 - www.kowollik.email

  • 162.255.119.15 port 80 - www.gotrkx.com

  • 91.216.107.226 port 80 - www.sosssou.com

  • 175.103.55.71 port 80 - www.canamultimedia.com

  • 198.105.244.228 port 80 - www.100placesbandb.com

  • 50.63.202.43 port 80 - www.cerebrumfriend.info

  • 103.224.212.222 port 80 - www.gatinhas.net

198.105.244.228 port 80 - www.xn--jjq193ajmav75c.com


• 64.32.26.89 port 80 - www.heapto.com - (no response from the server)

1. Почнемо з того, що досить легко поєднати pcaps із електронними листами залежно від того, кому вони надіслані. Цей перший електронний лист надійшов на адресу chris.lyons@supercarcenterdetroit.com, і ми можемо зіставити його з першим pcap на основі імені хоста з цього pcap (яке ми розглянемо пізніше). Щоб переглянути вкладення, вам знадобиться програма для читання електронної пошти, яка обробляє файли EML, тому ми не можемо використовувати Microsoft Outlook. Замість цього вам доведеться використовувати поштовий клієнт, наприклад Thunderbird. Як завжди, пам’ятайте, що вкладення електронного листа є справжнім шкідливим програмним забезпеченням. Якщо ви збираєтеся переглянути його, зробіть це на іншому комп’ютері, ніж ви зазвичай використовуєте вдома чи на роботі. В ідеалі комп’ютер, яким ви користуєтеся, має бути ізольований від вашої домашньої мережі (якщо ви вдома) або робочого середовища (якщо на роботі). Більшість людей використовують для цієї мети віртуальні машини (ВМ).

2. Після того, як ви захопите zip-архів із шкідливого спаму, ви зможете скористатися інструментом командного рядка, щоб знайти хеш файлу. Зазвичай я отримую хеш SHA256, коли це роблю. Для MacBook і більшості дистрибутивів Linux команда така:

shasum -a 256 [ім'я та/або шлях до файлу]



3.Використовуемо команду.



4. Тут важливо зазначити, що багато спеціалістів із безпеки не надсилають зловмисне програмне забезпечення, яке вони знаходять під час своїх розслідувань, до VirusTotal або до будь-якого іншого онлайн-інструменту. Замість цього вони шукають хеш файлу. навіщо це робити Тому що ви можете мати справу з цілеспрямованою атакою. Зловмисники, які стоять за цією зловмисною програмою, можуть легко перевірити VirusTotal, щоб побачити, чи її хтось надіслав. Якщо ви надішлете своє шкідливе програмне забезпечення до VirusTotal, злочинці дізнаються, що ви знаєте про їхню атаку, і зможуть змінити свою тактику. Краще, якщо злочинці не знають, що ви виявили їх шкідливе програмне забезпечення.

Спершу шукати за хешем SHA256 шкідливого програмного забезпечення – хороша звичка.

У цьому випадку ми отримуємо розпакований EXE-файл, і найкращий спосіб - скористатися Google. Пошук у Google за адресою 9a9d7a41c404b9044a82727996d53222d996f03d71e4839245dbeeaf4c685f77 показує, що витягнутий файл EXE було відправлено в онлайн-пісочниці на reverse.it і hybridanalysis.com. Як я вже зазначав раніше, це одна і та ж система. Якщо ви підкоритесь одному, ви побачите результати на іншому.(Це програмне забезпечення).

5. Тепер, коли ми знаємо, що зловмисне програмне забезпечення було відправлено в онлайн-пісочниці на reverse.it і hybridanalysis.com, ми можемо шукати на сайті безпосередньо.



6. Найкраще взяти найперший результат пошуку. У цьому випадку zip-файл було надіслано 2017-12-15, тож це той, який ми повинні перевірити. Щоразу, коли zip-архів надсилається на reverse.it або hybrid-analysis.com, витягнутий вміст аналізується в пісочниці. Прокрутимо сторінку вниз, щоб знайти цей запис аналізу, і ви побачите трафік HTTP, спричинений зловмисним програмним забезпеченням.



7. Там ми знайдемо сповіщення про ET TROJAN Formbook 0.3 Checkin.



8.Зробимо все теж саме с другим pcap.



Знову ж таки, ми повинні переглянути ранній аналіз шкідливого програмного забезпечення. На жаль, аналіз ізольованого програмного середовища Black Friday.docx не дає нам трафік DNS або HTTP, щоб допомогти ідентифікувати зловмисне програмне забезпечення.



9. Інформація про хост легко доступна в перших кількох кадрах мережевого трафіку на основі інформації служби імен NetBIOS (NBNS) і DNS. Звідти ми можемо співвіднести IP-адресу та MAC-адресу зараженого хоста Windows. Для отримання додаткової інформації перегляньте зображення нижче.



10.Використаємо команду «http.request».



11.Відфільтруемо за допомогою команди «(tcp.flags eq 0x0002 and tcp.analysis.retransmission) or dns.qry.name».

У цьому випадку є два домени, які не отримали відповідь від сервера. Якщо сервер не відповідає, хост продовжить надсилати пакети SYN у TCP-трафіку, щоб ініціювати тристороннє рукостискання та встановити з’єднання. Ми можемо комбінувати вирази фільтрів, щоб швидко знайти цей трафік.



12.Проскролимо нижче.



У цьому PCAP немає іншого трафіку зараження, тому ми повинні завершити розслідування. У нас є ім’я хоста, IP-адреса, MAC-адреса. Ім'я жертви було підтверджено з електронної адреси та імені хоста. Ми знайшли всі пов’язані домени та IP-адреси з трафіку інфікування HTTP. І ми маємо інформацію про електронну пошту, вкладені дані та вилучене зловмисне програмне забезпечення для написання.

А як щодо другого PCAP?

Як і перший pcap, інформація про хост з другого pcap легко доступна в перших кількох кадрах мережевого трафіку на основі служби імен NetBIOS (NBNS) і інформації DNS. Звідти ми можемо співвіднести IP-адресу та MAC-адресу зараженого хоста Windows. Для отримання додаткової інформації переглянемо зображення нижче.



NBNS i DNS трафік показує нам host name, IP address, and MAC address.

13.HTTP трафік з іншого pcap.





Відфільтруємо по команді: «http.request or tcp.flags eq 0x0002 or ssl.handshake.type == 1 or dns.qry.name».



На цьому зображенні ми знаходимо трафік HTTPS до forum.cryptopia.gdn перед тим, як побачити трафік HTTP до 108.61.179.223 з інформацією про користувача та хост. Виходячи із запитів DNS, ми також маємо трафік на основі TeamViewer через порт TCP 5938 для двох різних IP-адрес.

На даний момент ми підтвердили, що це зловмисне програмне забезпечення, пов’язане з TeamViewer.

Але ця інфекція виникла з документа Word. Має бути двійковий або виконуваний файл. Чи було його вбудовано в документ Word? Або його було надіслано через мережу, можливо, із запиту HTTPS через порт 443? Цей домен forum.cryptopia.gdn через HTTPS є підозрілим. Давайте ще раз перевіримо аналіз reverse.it цього документа Word.



Коли ми відкриємо сторінку, знайдіть на ній forum.cryptopia.gdn, щоб побачити, чи вона з’явиться.

Звичайно, так! Він міститься в URL-адресі для https://forum.cryptopia.gdn/sys.exe у розділі «рядки» аналізу пісочниці для Black Friday.docx.

Схоже, що документ Word містить вбудований файл VBS, на який жертва клацнула б, щоб заразитися. Тепер ми знаємо, звідки взявся виконуваний файл. На жаль, мені не вдалося отримати копію виконуваного файлу. Давайте просто уявимо, що комп’ютер Дарнелла Кастільо стер і повторно створив зображення, перш ніж хтось мав можливість провести судово-медичний аналіз зараженого хоста.

Завдяки цьому ми повинні мати всю інформацію, щоб написати звіт про інцидент для другої пари PCAP і електронної пошти.

Висновки

1.Навчився дізнаватися як зловмисник відправляє шкідливе програмне забезпечення в онлайн-пісочниці.

2.Навчився правильно використовувати команду «NBNS»

3.Дізнався що в документі Word може міститися вбудований файл , на який ті можеш клацнути щоб заразити свій пк.

1. Вкажіть IP-адресу внутрішнього комп'ютера, який бере участь у подіях.

10.1.1.97

2. Вкажіть MAC-адресу внутрішнього комп'ютера, який бере участь у подіях. Яким чином ви це визначили?

00:22:15:d4:7a:e7

С помощью сопоставления IP-адреса с MAC-адресом и именем хоста из трафика DHCP.

3. Яка операційна система встановлена на даному внутрішньому комп'ютері?

Windows.

4. Що таке набір експлойтів?

Набори експлойтів - це комплексні засоби, що містять колекцію експлойтів. Ці набори перевіряють пристрої на різні вразливості програмного забезпечення і, якщо вони виявляються, виявляють додаткові програми для виявлення пристроїв.

5. Виконайте в Google пошук фрази "Angler EK", щоб дізнатися основні відомості про ці набори експлойтів. Узагальнити отримані результати.

Взагалі кажучи Angler EK є інструментом для зараження користувачів онлайн та поширення шкідливого програмного забезпечення. «Морський чорт»-це не новий комплект подвиг; фахівці вже помітили, що він уперше з'явився у 2013 році. Хоча це досить стара, це все ще дуже популярні та широко поширені. Cisco нещодавно провела дослідження та виявив, що Anhler EK тісно пов'язаний з проксі-серверами. Насправді відомо, що буде побудований в конфігурації проксі сервер. Тепер ясно, що Angler використовує проксі-сервера, які розташовані на серверах, головним чином організованого вапняку мереж (провайдер послуг).

Перелік джерел інформації

https://cybercalm.org/novyny/shho-take-eksplojt-yak-pratsyuye-ta-yak-zahystytysya/

https://eset.ua/ua/blog/view/61/nabory-eksploytov-chem-opasna-ugroza-i-kak-zashchitit-svoi-ustroystva

https://habr.com/ru/company/eset/blog/302664/
скачати

© Усі права захищені
написати до нас