Gladys是公司的一位新员工，她收到了一封电子邮件，通知她IT部门即将对她的个人电脑进行一些工作，她被引导打电话给IT团队，他们会告诉她如何允许他们远程访问。然而，这个IT团队实际上是一群试图攻击Forela的黑客。

• MFTExplorer
• Event Log Explorer

Task1 上传为C2代理的可执行文件叫什么名字？

打开Microsoft-Windows-Sysmon%4Operational.evtx日志文件

Microsoft-Windows-Sysmon operational.evtx是 Windows Sysmon（系统监控）生成的事件日志文件，记录了系统的各种活动和事件。Sysmon 是 Sysinternals Suite 中的一部分，用于增强 Windows 的日志能力，提供详细的事件监控，以帮助安全分析和事件响应。

Sysmon 可以监控和记录以下类型的事件：

1. 进程创建：监控新进程的创建，包括命令行参数。
2. 网络连接：记录出站和入站网络连接的信息。
3. 文件创建时间：记录文件的创建、修改和删除事件。
4. 驱动程序加载：监控系统中加载的驱动程序。
5. 文件哈希：记录文件的哈希值，以便后续分析。
6. 注册表操作：监控注册表的创建、修改和删除操作。
7. 原始事件记录：记录其他重要的系统事件。

或者查看MFT记录，在桌面上就可以看到这个文件

Task2 初始访问时的会话 ID 是什么？

攻击者是通过TeamViewer软件进行远程访问，查看teamviewer的日志

日志路径如下：

在最开始的时间可以看到sessionID

Task3 攻击者试图在 C: 驱动器上设置 Bitlocker 密码，密码是什么？

查看Windows PowerShell.evtx日志

base64解码得到密码

Task4 攻击者使用的名称是什么？

查看teamviewer的日志

Task5 C2 连接回哪个 IP 地址？

查看Microsoft-Windows-Sysmon%4Operational.evtx日志文件

52.56.142.81

Task6 Windows Defender 为 C2 二进制文件分配了什么类别？

查看Windows Defender的日志

VirTool:Win32/Myrddin.D

Task7 攻击者用来操纵时间的 PowerShell 脚本的文件名是什么？

查看Microsoft-Windows-Sysmon%4Operational.evtx日志文件，过滤PS1后缀

可以看到与时间有关的脚本

或者分析mft文件，在桌面上也可以发现PS1脚本

Invoke-TimeWizard.ps1

Task8 初始访问连接是什么时候开始的？

2023/05/04 11:35:27

Task9 恶意二进制文件的 SHA1 和 SHA2 总和是多少？

分析Windows Defener目录下的日志 文件

搜索sha1

Task10 powershell 脚本更改了机器上的时间多少次？

2371

Task11 受害用户的 SID 是什么？

查看security的日志即可知道

S-1-5-21-3720869868-2926106253-3446724670-1003