Gladys是公司的一位新员工,她收到了一封电子邮件,通知她IT部门即将对她的个人电脑进行一些工作,她被引导打电话给IT团队,他们会告诉她如何允许他们远程访问。然而,这个IT团队实际上是一群试图攻击Forela的黑客。
Task1 上传为C2代理的可执行文件叫什么名字?
打开Microsoft-Windows-Sysmon%4Operational.evtx日志文件
Microsoft-Windows-Sysmon operational.evtx
是 Windows Sysmon(系统监控)生成的事件日志文件,记录了系统的各种活动和事件。Sysmon 是 Sysinternals Suite 中的一部分,用于增强 Windows 的日志能力,提供详细的事件监控,以帮助安全分析和事件响应。
Sysmon 可以监控和记录以下类型的事件:
或者查看MFT记录,在桌面上就可以看到这个文件
Task2 初始访问时的会话 ID 是什么?
攻击者是通过TeamViewer软件进行远程访问,查看teamviewer的日志
日志路径如下:
在最开始的时间可以看到sessionID
Task3 攻击者试图在 C: 驱动器上设置 Bitlocker 密码,密码是什么?
查看Windows PowerShell.evtx日志
base64解码得到密码
Task4 攻击者使用的名称是什么?
查看teamviewer的日志
Task5 C2 连接回哪个 IP 地址?
查看Microsoft-Windows-Sysmon%4Operational.evtx日志文件
52.56.142.81
Task6 Windows Defender 为 C2 二进制文件分配了什么类别?
查看Windows Defender的日志
VirTool:Win32/Myrddin.D
Task7 攻击者用来操纵时间的 PowerShell 脚本的文件名是什么?
查看Microsoft-Windows-Sysmon%4Operational.evtx日志文件,过滤PS1后缀
可以看到与时间有关的脚本
或者分析mft文件,在桌面上也可以发现PS1脚本
Invoke-TimeWizard.ps1
Task8 初始访问连接是什么时候开始的?
2023/05/04 11:35:27
Task9 恶意二进制文件的 SHA1 和 SHA2 总和是多少?
分析Windows Defener目录下的日志 文件
搜索sha1
Task10 powershell 脚本更改了机器上的时间多少次?
2371
Task11 受害用户的 SID 是什么?
查看security的日志即可知道
S-1-5-21-3720869868-2926106253-3446724670-1003