Ejercicio: BlueTeam
Objetivo: Obtener el dominio desde dónde los atacantes llevaron a cabo el ataque
Recurso: Imagen de un USB
Pasos llevados a cabo:
1.- Identificación del tipo de fichero con el que vamos a trabajar.
2.- Identificación del tipo de sistema de fichero de la imagen
3.- Identificamos el “offset” de comienzo de la partición que queremos montar
4.- Montamos la imagen para poder acceder al contenido de la susodicha.
5.- Accedemos al punto de montaje para ver el contenido
Cuando estamos revisando un USB, lo primero desde mi punto de vista a buscar es el archivo: “autorun.inf” (¡llamativo el nombre del archivo!), el cual es leído tras insertar un USB en un equipo, buscando con ello comprobar si existe alguno fichero a ejecutar sin intervención del usuario
En nuestro caso el contenido es:
Dentro del archivo, el campo más importante es el campo: “OPEN”, ya que lo que indique dicho campo es lo que se ejecutará tras la lectura del archivo “.inf”
Por lo tanto, podemos ver que tras insertar el USB y leer el archivo “autorun.inf”, lo siguiente será ejecutar el fichero “s.jpg.exe” (¡doble extensión!, indicativo de “cosas malas”).
Pero, si buscamos dicho fichero de cualquier manera, no aparece por ninguna parte.
Por lo tanto, debemos suponer que se encuentra borrado, y, para recuperarlo necesitaremos recorrer el sistema de fichero secuencialmente buscando todos los ficheros que permanezcan en él. ¿Por qué?, porque nada se borra hasta que se hace de manera segura o se sobrescribe.
6.- Mediante la herramienta: “foremost” (https://www.kali.org/tools/foremost/), buscamos todos los ficheros, borrados y no borrados, dentro de la imagen del USB.
Se encuentran 3 archivos ejecutables, con extensión “EXE”, pero tras una evaluación de los mismos, utilizando un análisis estático, así como una búsqueda por internet de sus hashes … no encontramos nada, de hecho no podemos decir que alguno de este archivos sea el que buscamos. Por eso necesitamos seguir buscando, pero esta vez, nos centraremos en la MFT (Master File Table) con la que trabaja el sistema de fichero NTFS.
NOTA: La MFT (Master File Table) es un “directorio” que almacena los medadatos de los ficheros que contiene el sistema de ficheros, tanto de los archivos no borrados como los borrados, siempre y cuando el espacio de estos últimos no haya sido sobrescrito.
7.- Mediante la herramienta: “autopsy”, podemos recuperar la información de la MFT.
Efectivamente, la herramienta nos indica que en la MFT están los metadatos del archivo que buscamos, y que por supuesto no lo encontrábamos porque dicho archivo se encuentra eliminado.
Pero, si lo analizamos llegaremos a la conclusión de que este archivo realmente es un “netcat” renombrado, y por lo tanto no es lo que estamos buscando. Por lo tanto, debemos seguir indagando.
En nuestro proceso de investigación, podremos ver un archivo muy interesante, cuyo nombre es: Desktop.lnk, que se encuentra “eliminado” y por tanto no es visible a simple vista.
Pero que gracias a “autopsy” podemos ver su contenido, que es el siguiente:
Es decir, este “link” o “acceso directo” ejecuta al hacer un doble click sobre él un comando “cmd.exe”, que a su vez ejecuta algo que viendo codificado. Descodificándolo, podemos ver lo siguiente:
NOTA: Si se realiza la descodificación a mano, hay que tener en cuenta que la primera posición en todo array de datos NO es la 1, sino la 0
Bitsadmin,
es una herramienta de línea de comandos que se usa para crear, descargar o
cargar trabajos, y para supervisar su progreso. Por lo tanto, estamos ante el archivo de infección, que
no es más que un “downloader”, y que
nos permite cumplir con nuestro objetivo.
