Data Pelanggaran Baru Pelajaran II: Log Pencuri
Ini adalah posting kedua dari seri tiga bagian tentang cara-cara baru di mana data pelanggaran dapat bermanfaat baik untuk penyerangan maupun pertahanan. Bagian satu dapat ditemukan DI SINI.
Saya benar-benar terpesona oleh data log pencuri. Meskipun saya selalu memprioritaskan data pelanggaran sebagai bagian penting dari penyelidikan kami, data log pencuri menghadirkan dunia yang sama sekali baru. Pertama, mari kita meninjau kembali dasar-dasarnya.
Log pencuri dibuat setelah virus berbahaya diinstal ke komputer (biasanya Windows). Korban mungkin ditipu untuk menginstal program setelah mengunjungi situs web berbahaya, atau virus dapat dimasukkan ke dalam aplikasi yang tidak sah, seperti perangkat lunak bajakan. Virus mengendus melalui komputer untuk mengidentifikasi, mengekstrak, dan mengumpulkan data berharga apa pun. "Log" ini kemudian ditransfer dari mesin host dan didistribusikan di lokasi online yang teduh.
Log pencuri paling umum yang kami temukan diberi label sebagai Raccoon Stealer, Redline Stealer, dan Vidar Stealer. Pasar kriminal memperdagangkan data ini sebagai komoditas. Mereka menggunakan data yang dicuri untuk mengakses akun online secara tidak sah, mencuri cryptocurrency, melakukan pembelian yang tidak sah, dan membuat kekacauan pada kehidupan digital orang yang tidak bersalah. Sistem kami menyerap lebih dari satu juta log setiap hari yang dibagikan secara online.
Mari kita lihat beberapa data nyata. Dalam contoh berikut, saya mengekstrak log acak yang dihasilkan oleh pencuri Redline dan diunggah ke pasar kriminal. Saya menyunting banyak konten. Pertama, mari kita pahami struktur file. Berikut ini adalah pohon dari file log tunggal untuk satu korban.
└── US[xx4909xC4Ex3C4x008x57AxD60BBCAF6] [2022-06-19T08_49_35] ├── -----000.txt ├── 00000000000.jpg ├── Autofills │ ├── Google_[Chrome]_Default.txt │ └── Microsoft_[Edge]_Default.txt ├── Cookies │ ├── Google_[Chrome]_Default Network.txt │ └──Microsoft_[Edge]_Default Network.txt ├── DomainDetects.txt ├── ImportantAutofills.txt ├── InstalledBrowsers.txt ├── InstalledSoftware.txt ├── Passwords.txt ├── Screenshot.jpg └── UserInformation.txt
Sekarang, mari kita menelusuri setiap folder dan file.
└── US[xx4909xC4Ex3C4x008x57AxD60BBCAF6] [2022-06-19T08_49_35]
Folder atas ini menyajikan singkatan dua huruf dari negara korban (Amerika Serikat) diikuti dengan Pengenal Perangkat Keras (HWID) yang unik serta tanggal dan waktu pengambilan. HWID adalah ukuran keamanan yang digunakan oleh Microsoft pada aktivasi Windows. HWID unik ini dihasilkan saat sistem operasi pertama kali diinstal. Ini akan menjadi penting dalam beberapa saat. Tanggal dan waktu memungkinkan kita untuk mengetahui kemungkinan keakuratan data.
├── -----000.txt
Ini adalah file informasi tentang pencuri. Ini sering kali mencakup informasi kontak umum, harga untuk data yang dicuri, dan komunitas online yang terkait dengan produk.
├── 00000000000.jpg
Ini adalah logo dari produk Redline.
├── Autofills │ ├── Google_[Chrome]_Default.txt │ └── Microsoft_[Edge]_Default.txt
Di sinilah hal-hal menjadi menarik. Browser Anda mungkin menanyakan apakah Anda ingin menyimpan informasi yang dimasukkan ke dalam formulir online. Ini dapat mencakup nama, alamat, email, atau detail unik lainnya yang sering dimasukkan ke situs web. Jika Anda mengizinkan browser Anda untuk menyimpan data ini, log pencuri dengan mudah mengumpulkannya ke dalam sistem mereka. Di bawah ini adalah sebagian (dihapus) data yang diambil dari korban.
Name: email Value: loxxx@gmail.com =============== Name: username Value: skxxxx22 =============== Name: lastname Value: Loxxx =============== Name: first-name-field Value: Alixxx =============== Name: address Value: 20xx xxxx Lane =============== Name: city Value: Moxxx =============== Name: phone Value: 209-xxx-xxx =============== Name: dob Value: 10/xx/20xx =============== Name: VIN Value: kmhtcxxxxxxxxx =============== Name: keyword Value: 20xx Subaru xxxx =============== Name: card-name Value: Alixxx Loxxx =============== Name: expiration-date Value: 0x/2x ===============
Saya sekarang memiliki nama, DOB, alamat rumah, email, ponsel, kendaraan, dan sebagian rincian kartu kredit korban.
├── Cookies │ ├── Google_[Chrome]_Default Network.txt │ └──Microsoft_[Edge]_Default Network.txt
Browser Anda menyimpan file internet sementara tentang sesi kredensial Anda. Saya mungkin tidak memiliki kata sandi Anda ke akun email Anda, tetapi memiliki cookie dari browser Anda dapat memungkinkan saya untuk mencuri sesi kredensial Anda dan mereplikasi akses ke akun Anda. Rincian berikut dapat bermanfaat bagi penjahat (jelas disunting dan disingkat).
.paypal.com TRUE / FALSE 196941xxx cookie_check yes .paypal.com TRUE / FALSE 168533xxx cookie_prefs P%3D1%2CF%3D1%2Ctype%3Dimplicit .paypal.com TRUE / FALSE 196941xxx d_id 9ebfcxxxe8545ae9a39xxx2d228xxx116537xxx .paypal.com TRUE / FALSE 1969xxxG8 KN2xxx0aJZzhbL_R4HkiO_kHmbxxx76b5_yMTkUPrF-Ml6xxx .paypal.com TRUE / FALSE 1685334379 X-PP-ADxxxYsNaAuNxxxHBuQ9dI .paypal.com TRUE / FALSE 1716870381 _ga GA1.2.137xxx.165379xxx .paypal.com TRUE / FALSE 1716912230 login_email lopxxxgmail.com .paypal.com TRUE / FALSE 1969417578 rmuc KhGxxxmVv_x1Oo9gQ7axxxUk ├── DomainDetects.txt
File ini menawarkan akses langsung ke domain prioritas yang ada di catatan keseluruhan. Hal ini memungkinkan penjahat untuk dengan cepat mengidentifikasi log yang menarik.
PDD: [Amazon] amazon.com (2), [Games] steamcommunity.com (2) CDD: [PayPal] paypal.com (40), [Amazon] amazon.com (14), [Games] battle.net (11), [Games] epicgames.com (1), [Games] steamcommunity.com (8) ├── ImportantAutofills.txt
File ini mem-parsing data dari bidang formulir yang disimpan yang akan sangat bermanfaat bagi penjahat. Dua baris terakhir dari contoh tersangka saya muncul sebagai berikut. Saya juga sering melihat detail kartu kredit lengkap yang disajikan di sini.
dob: 06/xx/xx ssn: 248xx2xxx ├── InstalledBrowsers.txt
File ini mengidentifikasi semua browser dan versi yang diinstal.
1) Name: Google Chrome, Path: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, Version: 102.0.5005.115 2) Name: Internet Explorer, Path: C:\Program Files\Internet Explorer\iexplore.exe, Version: 11.00.22000.1 (WinBuild.160101.0800) 3) Name: Microsoft Edge, Path: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe, Version: 102.0.1245.44 ├── InstalledSoftware.txt
File ini menyajikan semua aplikasi yang diinstal di dalam mesin. Meskipun ini mungkin tidak terlalu berharga bagi seorang penjahat, itu adalah emas bagi seorang penyelidik. Jika target saya memiliki program pencuri, saya bisa memantau banyak detail tentang penggunaan komputer orang tersebut. Dalam contoh berikut, saya akan tahu VPN mana yang digunakan target saya, detail perangkat keras, dan game pilihan. Itu bisa menyebabkan serangan rekayasa sosial yang cukup besar.
1) Adobe Acrobat Reader DC [22.001.20117] 2) Adobe Creative Cloud [5.5.0.617] 3) Adobe Genuine Service [7.7.0.35] 4) Adobe Photoshop 2021 [22.1.1.138] 5) Adobe Refresh Manager [1.8.0] 6) Epic Games Launcher [1.1.279.0] 7) ExpressVPN [7.7.12.4] 8) ExpressVPN [7.7.12.4] 9) Google Chrome [102.0.5005.115] 10) HP Audio Switch [1.0.179.0] 11) HP Connection Optimizer [2.0.17.0] 12) HP PC Hardware Diagnostics UEFI [7.6.2.0] 13) Intel(R) Chipset Device Software [10.1.18295.8201] 14) Launcher Prerequisites (x64) [1.0.0.0] 15) LOOT version 0.16.0 [0.16.0] 16) McAfee LiveSafe [16.0 R27] 38) Minecraft Launcher [1.0.0.0] 39) NVIDIA Texture Tools Exporter for Adobe Photoshop [2020.1.3] 40) Razer Synapse [3.7.0531.052416] 41) Red Dead Redemption 2 [1.0.1436.31] 42) Rockstar Games Launcher [1.0.59.842] 43) Rockstar Games Social Club [2.1.3.7] 44) Steam [2.10.91.91] 45) UE4 Prerequisites (x64) [1.0.14.0]
├── Passwords.txt
File ini menyajikan semua kata sandi yang disimpan dalam semua browser. Inilah mengapa sangat penting untuk hanya menggunakan pengelola kata sandi yang memiliki reputasi baik, dan tidak pernah menggunakan opsi penyimpanan kata sandi browser asli. Di bawah ini adalah salah satu dari 56 contoh untuk korban ini, disunting. File asli menampilkan semua kata sandi secara lengkap.
=============== URL: https://www.amazon.com/ap/signin Username: xxxxxxx Password: xxxxxxx Application: Google_[Chrome]_Default ===============
├── Screenshot.jpg
Ini adalah salah satu bagian yang paling menarik. Ini adalah tangkapan layar dari mesin korban pada saat infeksi. Contoh aktual berikut (sedikit diedit) mengidentifikasi minat video orang tersebut, favorit TikTok, pintasan bilah alat, avatar Google (dihapus), dan keadaan komputer secara keseluruhan pada saat itu. Ini cukup invasif dan bisa menjadi petunjuk besar dalam penyelidikan.
└── UserInformation.txt
File terakhir menampilkan detail umum tentang sistem, termasuk alamat IP korban, perangkat keras, lokasi, dan tanggal. Contohnya di bawah ini.
Build ID: REDLINEVIP
IP: 192.xx.xx.xx
FileLocation: C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe
UserName: xxx
Country: US
Zip Code: xxx
Location: xxx, Texas
HWID: 72xxxxxxxxxxxxxxxCAF6
Current Language: English (United States)
ScreenSize: {Width=1920, Height=1080}
TimeZone: (UTC-07:00) Mountain Time (US & Canada)
Operation System: Windows 10 Home x64
UAC: AllowAll
Process Elevation: False
Log date: 19.06.2022 8:49:35
Name: Intel(R) Core(TM) i7-10750H CPU @ 2.60GHz, 6 Cores
Name: NVIDIA GeForce RTX 2060, 4293918720 bytes
Name: Total of RAM, 12126.75 MB or 12715814912 bytes
Menyatukan semuanya:
Anda mungkin bertanya-tanya mengapa saya begitu bersemangat tentang log ini ketika mereka mengungkapkan detail sensitif tentang korban yang tidak bersalah. Saya punya dua alasan utama.
Pertama, ini membantu kami membela klien kami. Kami memiliki lebih dari selusin klien yang tanpa sadar menginstal virus pencuri. Sistem kami menangkap infeksi dalam beberapa hari dan memungkinkan kami untuk menghubungi klien untuk membuat pemberitahuan. Kami telah membantu banyak organisasi yang memiliki infeksi yang tidak diketahui dalam jaringan mereka. Beberapa staf kami menyebutnya "Unit Pra-Kejahatan" kami.
Selanjutnya, itu bisa menjadi alat investigasi yang tak ternilai harganya. Saya memiliki banyak tersangka dalam penyelidikan saya sendiri yang menjadi korban pencurian kayu. Ketika ini terjadi, saya dapat melihat semua email, nama pengguna, dan kata sandi mereka. Ini telah mengungkap nama alias dan taktik menipu lainnya yang digunakan oleh tersangka. Jika target saya adalah korban pencurian log, seluruh penyelidikan saya akan segera selesai. Jika saya memiliki HWID, saya dapat mencari melalui data logger kami untuk mengidentifikasi informasi yang lebih penting tentang tersangka.
Karena itu, kami secara agresif mengumpulkan data log pencuri setiap hari. Beberapa hari kami menelan lebih dari 250GB data ini.