Hoy nos enfrentamos a la investigación de una máquina windows infectada, una sala de TryHackme a la que le tenía un poco de ganas.
Cómo bien sabes yo estoy enfocandome ahora mismo al blue hacking y no hay nada mejor que una sala así para aprender a investigar que está ocurriendo dentro de una máquina infectada.
Vamos a empezar la investigación de máquina windows infectada paso por paso:
Introducción del caso
Se ha visto comprometida la seguridad de una máquina Windows. Mi trabajo consiste en investigarla y encontrar pistas sobre lo que el hacker informático podría haber hecho y cómo.
Esto es lo primero que vemos, la máquina Windows infectada donde podemos empezar a investigar.
¿Cómo ha sido comprometida?
Lo primero que podemos detectar es que cada «x» tiempo se ejecuta en segundo plano el cmd lo que indica que el atacante podría estar navegando por el ordenador mediante comandos.
Lo que hice para resolver el caso:
¿Cuál es la versión y el año del sistema Windows?
Ahora que PowerShell está abierto, ejecuto algunos comandos para obtener información. Para comenzar, usa el comando Get-ComputerInfo, que mostrará toda la información del sistema.
Necesitamos reducir esta lista. Para hacerlo, y sabiendo qué buscamos, podemos usar el comando Get-ComputerInfo -Property "Os*". Esto solo mostrará los resultados que comiencen con «Os». La respuesta será la primera entrada de la salida.
¿Qué usuario inició sesión por última vez?
Primero, debemos ver los nombres de los usuarios locales. Para ello, uso el comando Get-LocalUser, que enumerará todos los usuarios locales y nos dará una lista con la que trabajar.
Ahora que tenemos nuestra lista de usuarios locales, uso el comando net user {nombre_de_usuario} | findstr "Last".
Esto nos mostrará la última vez que ese usuario inició sesión en el sistema.
¿A qué IP se conecta el sistema al iniciarse?
Reviso el archivo «hosts» para ver si encontramos la respuesta. La ruta del archivo es C:\Windows\System32\drivers\etc. Dentro de esta carpeta, haz doble clic en el archivo «hosts».
Lo abro con el Bloc de notas. En el archivo podemos ver que varias direcciones están apuntando a localhost y que Google está listado allí. Esto parece un caso de envenenamiento de DNS.
Si revisamos el Registro de Windows (regedit), navegamos a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Allí, encontramos un valor sospechoso llamado «UpdateSvc», que nos muestra la IP a la que se conecta el sistema al iniciarse.
¿Qué dos cuentas tenían privilegios administrativos (además del usuario «Administrator»)?
Para ver qué usuarios pertenecen al grupo «Administrators», uso el comando Get-LocalGroupMember -Group "Administrators".
¿Cuál es el nombre de la tarea programada maliciosa?
Para ver las tareas programadas en el sistema, uso el comando Get-ScheduledTask. Esto mostrará una lista muy extensa.
Para reducir la lista, ejecuta el comando:Get-ScheduledTask | where {$_.TaskPath -eq "\"}
Esto reducirá la lista a seis tareas. Una de ellas es maliciosa.
¿Qué archivo intentaba ejecutar esta tarea diariamente?
Ejecuto el siguiente comando para asignar la tarea a una variable:$task = Get-ScheduledTask | Where TaskName -EQ "Clean file system"
Luego, ejecuto:$task.Actions
Esto nos mostrará qué ejecuta el programa cuando se inicia.
¿Qué puerto escuchaba este archivo localmente?
Reviso la salida del comando anterior, el puerto aparece en la columna de «Argumentos» y aparece ahí la respuesta.
¿Cuándo inició sesión Jenny por última vez?
Ejecuto nuevamente el comando net user Jenny | findstr "Last" para recuperar la información.
¿En qué fecha ocurrió el compromiso de seguridad?
Abriendo el Explorador de archivos al disco C:\. Buscando una fecha que se repita en varias carpetas o un directorio que no pertenezca allí.
¿A qué hora Windows asignó privilegios especiales a un nuevo inicio de sesión?
Abriendo el «Visor de Eventos» (eventvwr). Filtranado por los registros de seguridad (Security logs) y usando la opción «Crear vista personalizada» (Create Custom View).
Selecciono los eventos de 03/02/2019 y un rango de tiempo entre 4:00:00 PM — 4:30:00 PM. Buscando el evento con la categoría Security Group Management, que indica un cambio en privilegios.
¿Qué herramienta se usó para obtener las contraseñas de Windows?
Un proceso sospechoso C:\TMP\mim.exe aparece repetidamente en la línea de comandos.
Si vamos a C:\TMP, encontramos un documento mim-out que contiene el nombre de la herramienta utilizada.
¿Cuál era la IP del servidor de comando y control (C2) del atacante?
Regresando al archivo «hosts» (C:\Windows\System32\drivers\etc\hosts). Allí, un dominio sospechoso apunta a una IP en lugar de resolverse normalmente a través de DNS.
¿Cuál era la extensión del shell que el atacante subió al sitio web del servidor?
Si vamos a C:\inetpub\wwwroot y observa los archivos en este directorio. Hay dos archivos .JSP, lo que es sospechoso, ya que .JSP es un tipo de archivo ejecutable en servidores web.
¿Cuál fue el último puerto que el atacante abrió?
Abro el Firewall de Windows (wf.msc) y reviso las «Reglas de Entrada» (Inbound Rules). Filtro por «Reglas sin grupo» (Rules without a Group).
Una regla llamada «Allow outside connections for development» se ve sospechosa. Si revisamos los detalles, encontraremos el puerto.
¿Qué sitio fue objetivo de envenenamiento de DNS?
Revisando nuevamente el archivo «hosts». Un dominio legítimo ha sido redirigido a la IP del servidor de comando y control (C2).
Y con esto completamos la Sala TryHackMe Investigating Windows adquiriendo un poco más de conocimientos en Blue Hacking.
Muestro un pantallazo donde se claramente «Sala completada» con mi usuario de TryHackme, donde puedes ver todas las salas que he ido completando a lo largo del tiempo.
Si quieres seguir indagando más sobre este tipo de casos en mi portfolio puedes encontrar muchos más casos similares.