xChar
·a month ago

Gladys是公司的一位新员工,她收到了一封电子邮件,通知她IT部门即将对她的个人电脑进行一些工作,她被引导打电话给IT团队,他们会告诉她如何允许他们远程访问。然而,这个IT团队实际上是一群试图攻击Forela的黑客。

Task1 上传为C2代理的可执行文件叫什么名字?

打开Microsoft-Windows-Sysmon%4Operational.evtx日志文件

Microsoft-Windows-Sysmon operational.evtx是 Windows Sysmon(系统监控)生成的事件日志文件,记录了系统的各种活动和事件。Sysmon 是 Sysinternals Suite 中的一部分,用于增强 Windows 的日志能力,提供详细的事件监控,以帮助安全分析和事件响应。

Sysmon 可以监控和记录以下类型的事件:

  1. 进程创建:监控新进程的创建,包括命令行参数。
  2. 网络连接:记录出站和入站网络连接的信息。
  3. 文件创建时间:记录文件的创建、修改和删除事件。
  4. 驱动程序加载:监控系统中加载的驱动程序。
  5. 文件哈希:记录文件的哈希值,以便后续分析。
  6. 注册表操作:监控注册表的创建、修改和删除操作。
  7. 原始事件记录:记录其他重要的系统事件。

或者查看MFT记录,在桌面上就可以看到这个文件

Task2 初始访问时的会话 ID 是什么?

攻击者是通过TeamViewer软件进行远程访问,查看teamviewer的日志

日志路径如下:

在最开始的时间可以看到sessionID

Task3 攻击者试图在 C: 驱动器上设置 Bitlocker 密码,密码是什么?

查看Windows PowerShell.evtx日志

base64解码得到密码

Task4 攻击者使用的名称是什么?

查看teamviewer的日志

Task5 C2 连接回哪个 IP 地址?

查看Microsoft-Windows-Sysmon%4Operational.evtx日志文件

52.56.142.81

Task6 Windows Defender 为 C2 二进制文件分配了什么类别?

查看Windows Defender的日志

VirTool:Win32/Myrddin.D

Task7 攻击者用来操纵时间的 PowerShell 脚本的文件名是什么?

查看Microsoft-Windows-Sysmon%4Operational.evtx日志文件,过滤PS1后缀

可以看到与时间有关的脚本

或者分析mft文件,在桌面上也可以发现PS1脚本

Invoke-TimeWizard.ps1

Task8 初始访问连接是什么时候开始的?

2023/05/04 11:35:27

Task9 恶意二进制文件的 SHA1 和 SHA2 总和是多少?

分析Windows Defener目录下的日志 文件

搜索sha1

Task10 powershell 脚本更改了机器上的时间多少次?

2371

Task11 受害用户的 SID 是什么?

查看security的日志即可知道

S-1-5-21-3720869868-2926106253-3446724670-1003

Loading comments...