第一题

题目详情

近日我司员工被钓鱼邮件攻击，电脑存在异常外连，我们获取了相关信息【钓鱼邮件EML、Windows系统日志、NTFS日志、主机内存】的压缩包，请进一步分析相关信息存在的问题。

1、钓鱼邮件中回连IP地址什么?【分析钓鱼文件】

2、内存中那些IP是受害者IP？【分析内存文件】

3、攻击者恶意文件路径？【分析NTFS日志】

wirteup

1、通过导入文件：工作调整详情.eml 到邮件，下载 钓鱼木马工作调整详情.exe

丢到微步沙箱运行检测，发现是一个CobaltStrike木马

下面可以看到回连的地址是10.7.5.124

2、题目附件给了memdump.mem，是一个内存文件，我们可以使用volatility工具进行内存取证分析，这里使用volatility3版本，命令跟2不太一样。

首先先安装所依赖的库

 pip3 install -r .requirements.txt

首先查看一下内存基本信息：

python3 .vol.py -f .memdump.mem windows.info

等待几秒后显示系统的基本信息

SystemTime(镜像制作时间)      2023-06-13 14:17:52NTBuildLab（操作系统版本）      7601.17514.amd64fre.win7sp1_rtm.

题目可知需要找出内存中那个IP是受害者IP，那么我们可以查网络连接

python3 .vol.py -f .memdump.mem windows.netscan

因为乱码，那个t什么的exe其实就是第一题的cs木马，他外联的地址就是10.7.5.124，那么前面就是受害者IP10.7.5.224，那么题目说有哪些，但是也没看到有其他的IP在连接？

3、要寻找攻击者恶意文件路径，我们需要分析NTFS日志，那么我们可以使用NTFS Log Tracker工具进行分析，首先把附件给的NTFS三个文件logfile.copy、j.copy、MFT.copy分别添加在选项上，设置号db文件名，点击parse就会自动分析。注意一下，因为这三个文件是受保护的操作系统文件，解压的时候会没掉以为文件被吞了，需要在文件夹选项设置取消勾选。但是不知道为什么第一题能看到，第二题看不到，太坑了。以为加了任意扩展名就能显示，没想到一样不显示。

然后我们可以搜索筛选上面的恶意文件工作调整详情.exe，那么我们就可以找到对应的文件路径

UsersadminAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup工作调整详情.exeWindowsPrefetch工作调整详情.EXE-B2BD0683.pf

当然还有一种做法就是继续使用volatility3，还能找到另外的一个文件地址:UsersadminDesktop工作调整详情.exe

python3 vol.py -f .memdump.mem windows.filescan

当然好像这题裁判没给分还是怎么的，其实按道理应该也算分吧。

第二题

题目详情

根据当前得到的信息，我们对被攻击的另一台windows主机进行了信息提取【Windows系统日志、NTFS日志、主机内存】，请进一步分析关信息存在的问题

1、找到攻击者进行横向攻击的相关信息（攻击工具是什么与相关信息）

2、从内存中分析到的第三台受害者IP是什么?

3、排查发现其它异常

writeup

1、按照一般应急排查思路来讲，我们可能会去查一下网络连接、cmd历史记录、系统日志啥的。

那么我们可以查查cmd历史记录

python3 .vol.py -f .memdump.mem windows.cmdline

我们可以发现有个agent.exe可疑程序，执行的命令是：agent.exe  -rhost 192.168.10.5 -rport 9998，是个代理工具还是啥的（复盘时候讲师讲的）。一般这种程序有对外的IP地址和端口的时候就需要留意一下

攻击工具的话也是可以用ntfs日志分析，这里可以看到有fscan64.exe 和agent.exe

2、从内存中分析到的第三台受害者IP是什么?

老样子，扫网络连接情况

 python3 .vol.py -f .memdump.mem windows.netscan

也可以知道agent.exe进程从源192.168.30.5往192.168.30.6连接。

3、排查其他异常的话，也就是看上面fscan程序创建时间前后有没有一些文件创建或者运行，题目其实也还给了操作系统的evtx日志文件，可以用log parser应急工具去分析

比如他远程桌面登录的情况：

比如查看是否创建了隐藏账户test$：

当然最好还是用volatility 2版本，3版本插件太少。。。

总结

这两题其实也不算难，学习了一些内存取证的工具用法和应急排查思路。当然我也给客户做过几次真实的应急响应，其实很多信息都被攻击者删了导致排查挺困难的。大概应急思路就是查各种日志（web、操作系统）、网络连接、安全设备告警信息、注册表、隐藏用户、开机启动项、病毒查杀等等，都需要仔细去检查。总的来说，这也是其中一项技能，现在安服仔不只是做渗透，其他应急啊、培训啊、红蓝队啊啥的都要做，多一项本领就多一个出路，安服仔们加油吧！另外你们有啥好工作都帮我介绍介绍哈！