windows内存取证-中等难度-下篇

admin
admin
admin
102360
文章
87
评论
2023年11月2日13:05:53评论28 views字数 1984阅读6分36秒阅读模式

上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述

Gideon

0x01 - 攻击者访问了“Gideon”用户,以便向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么?


攻击者执行了net use z: \10.1.1.2c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了

windows内存取证-中等难度-下篇


0x02 - 攻击者创建的RAR文件的名称是什么?

windows内存取证-中等难度-下篇

0x03 - 攻击者向RAR压缩包添加了多少文件?

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

windows内存取证-中等难度-下篇

将进程导出成dmp格式

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

windows内存取证-中等难度-下篇

直接搜索关键字,按照txt格式搜索就可以

strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

windows内存取证-中等难度-下篇

这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行
后来发现不用导出

strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

windows内存取证-中等难度-下篇


0x04 - 攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 filescan | grep 'System32\Tasks'

windows内存取证-中等难度-下篇

导出

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

windows内存取证-中等难度-下篇

windows内存取证-中等难度-下篇


POS

0x05 - 恶意软件的CNC服务器是什么?
老规矩,先看第三个镜像的信息

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

windows内存取证-中等难度-下篇

网络扫描

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

windows内存取证-中等难度-下篇

暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

windows内存取证-中等难度-下篇

暂时对应了,所以此题答案就是54.84.237.92

windows内存取证-中等难度-下篇


0x06 - 用于感染POS系统的恶意软件的家族是什么?


笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

windows内存取证-中等难度-下篇

windows内存取证-中等难度-下篇

windows内存取证-中等难度-下篇

0x07 - Allsafecybersec的具体应用程序是什么?

strings process.0x83f324d8.0x50000.dmp| grep exe


windows内存取证-中等难度-下篇

 0x08 - 恶意软件最初启动的文件名是什么?

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory


windows内存取证-中等难度-下篇

或者将3208进程导出来

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 memdump -p 3208 -D ./tmp 

windows内存取证-中等难度-下篇

strings 3208.dmp| grep exe | grep all


windows内存取证-中等难度-下篇




























原文始发于微信公众号(我不懂安全):windows内存取证-中等难度-下篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月2日13:05:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   windows内存取证-中等难度-下篇http://cn-sec.com/archives/2168031.html

发表评论

匿名网友 填写信息