A veces puede encontrarse con un caso en el que un ciber-atacante usa VPN para establecer un canal confiable entre el servidor C2 y la infraestructura de TI infectada. Y, como dicen los expertos de Threat Intelligence, los atacantes a menudo usan herramientas de conexi贸n VPN de Windows nativas y archivos
.pbk (
directorio telef贸nico) de Windows. Veamos c贸mo podemos detectarlo usando un volcado de memoria.
驴Qu茅 es el archivo
.pbk y c贸mo se ve dentro? Es solo un archivo de texto con muchos par谩metros diferentes que se utilizan cuando se establece la conexi贸n VPN.
El archivo de la agenda telef贸nica se puede ejecutar con doble clic o mediante cmd / bat script (o desde la consola de comandos, por supuesto). Pero hay dos herramientas diferentes que se utilizan para la primera y la segunda forma:
rasdial y
rasphone . Por lo tanto, podemos usar dos formas diferentes en un proceso forense digital. Al comienzo de ambas formas, debemos usar una herramienta de volatilidad para obtener y verificar una lista de procesos:
Si se detecta un proceso
rasphone , es posible que haya un rastro del uso de la agenda telef贸nica con doble clic desde la sesi贸n RDP, por ejemplo. 驴Qu茅 informaci贸n 煤til podemos encontrar tambi茅n aqu铆? Abramos este archivo de volcado en FTK Imager e intentemos buscar cualquier par谩metro .pbk.
Us茅 un
"PhoneNumber =" para este caso.
Aqu铆 ver谩 una direcci贸n remota para esta conexi贸n VPN y un n煤mero de puerto.
vpn566928222.opengw.net:995 Desde este punto, podemos detectar el nombre del servicio de una conexi贸n actual en la RAM, utilizando un n煤mero de puerto y el comando netscan de volatilidad.
Si el sistema volcado todav铆a est谩 vivo, puede matar este proceso o puede continuar la investigaci贸n. Por supuesto, debe saber m谩s sobre la direcci贸n IP remota:
Parece un servidor VPN an贸nimo gratuito y hay muchos de ellos en Internet. Y esta es una pregunta: 驴qu茅 aplicaci贸n utiliza esta conexi贸n VPN en la estaci贸n infectada?
S茅 que VPN es una conexi贸n a otra red privada y mi estaci贸n de trabajo tiene otra direcci贸n IP en una subred extranjera. Mi subred local es
192.168.145.0/24 pero hay varios servicios con diferentes direcciones IP locales (10.211.1.0/24) en los resultados de volatilidad netscan.
Varias direcciones IP de destino son para los servicios de Microsoft y un servicio sospechoso Sberbank_Antifraud conectado a 149.154.167.220: es una IP de grupo de Telegram Messenger. Entonces, ahora puede comenzar a investigar c贸mo apareci贸 este proceso en esta m谩quina.
Ok, otra forma es acerca de la conexi贸n VPN impulsada por cmd / bat con archivos .pbk.
A diferencia de rasphone, el proceso
rasdial es un marcador para la conexi贸n VPN basada en l铆nea de comandos o gui贸n. Verifiquemos la sintaxis rasdial aqu铆
ss64.com/nt/rasdial.html e intentemos encontrar
/ PHONEBOOK: par谩metro en el volcado de memoria usando FTK Imager:
Voila! Hemos encontrado una ruta completa al archivo de la agenda telef贸nica (por lo tanto, si se elimina, puede intentar tallarlo), el nombre de un script .cmd y nombre de
usuario / contrase帽a ("vpn", "vpn") para la conexi贸n "extVPN" !
Los pasos adicionales son los mismos que para la manera de rasphone: buscar un par谩metro "PhoneNumber =", encontrar una sesi贸n VPN y un servicio sospechoso con una direcci贸n IP local anterior.
Gracias de nuevo por la atenci贸n! 隆Volver茅 pronto con algo nuevo y bueno!