Our CEO's computer was compromised in a phishing attack. The attackers took care to clear the PowerShell logs, so we don't know what they executed. Can you help us?

Insider

https://github.com/unode/firefox_decrypt

git clone https://github.com/unode/firefox_decrypt.git

注意： 要用最新版本

python3 firefox_decrypt.py ../Mozilla/Firefox/

Logger

A client reported that a PC might have been infected, as it's running slow. We've collected all the evidence from the suspect workstation, and found a suspicious trace of USB traffic. Can you identify the compromised data?

打开看发现是USB的。每个包都看了一眼，没有可读的字符串。

Google搜索："ctf 分析usb traffic"

https://cnblogs.com/hackxf/p/10670844.html

结合上下文推测这是一个usb keylogger 

找到文章中提到的工具：

https://github.com/WangYihang/UsbKeyboardDataHacker.git

没用。

https://www.anquanke.com/post/id/240615

tshark -r keystrokes.pcapng -T fields -e usbhid.data | sed '/^$/d' > key.txtpython3 usb_keylog_rev.py key.txt

但这样解出来是有bug的。

还是得用到大佬写的这个工具：

https://blog.csdn.net/mole_exp/article/details/124849647

Persistent

DIE 没识别出来。

file命令看看：

如果不行我们还可以使用binwalk

MS WIndows Registry file

https://baijiahao.baidu.com/s?id=1703501297715999830&wfr=spider&for=pc

了解到这个工具：

https://github.com/keydet89/RegRipper3.0

Ransom

ftw这个函数，第三个参数是descriptor

看下第二个参数实际传入的是啥：

a1应该是文件名。

重点看encryptFile函数了：

里面又调用了encrypt函数，然后就写入文件了，来看下encrypt：

看下这里面的操作：

只是简单的加。不过loop被优化的有点难看。

loop的条件应该是从文件开始到文件结束。

解密出来的值是类似这样的：

原文始发于微信公众号（Definite R3dBlue）：Intro-to-BlueTeam