分析一台被黑客攻击过的Windows机器1.0

这次给大家带来的是一个基础的Windows取证分析，模拟调查一台已经被黑客攻击完的机器。TryHack Me房间链接https://tryhackme.com/room/investigatingwindows,只需要注册一个号就可以玩了。这里还是跟着里面的问题进行一步步调查取证分析

第一个问题是受害者机器是什么版本的,这里就用基础的命令systeminfo可以看到是一个WindowsServer 2016版本。

第二个问题是哪个用户最后登录。这里有两种方法查询，第一种方法就是queryuser而第二种是可以通过查询注册表中的LogonUI因为它里面有个子键叫LastLoggedUser，如以下命令不过都是可以看到最后登录的是Administrator。

命令:reqqueryHKLMSoftwareMicrosoftWindowsCurrentVersionAuthenticationLogonUI

第三个问题，John用户最后一次登录时间是什么时候,这里其实可以直接使用netuser John,如果有登录的话会显示Lastlogon反之没有。

第四个问题，当系统启动的时候会连接哪个IP。这个问题有点像提示你攻击者可能在系统上弄了什么维权/留后门的操作。这里呢我们先从攻击者的角度思考，如果想进行维权有几种方法，比如说改注册表，改启动程序，改计划任务等等。这里引用B站up我们有job要do对改注册表维权的方法,这里可以更改注册表两个地方一个是HKCU(HKEY_CURRENT_USER)另外一个地方就是HKLM(HKEY_LOCAL_MACHINE)。

这里举得例子是HKCU，当然在本次调查中HKCU是没有的但是它的好兄弟HKLM倒是留有痕迹。

这里可以看到打开注册表跟到HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun里面有个updateSvc值里面写着一个p.exe连着10.34.2.3

而这个p.exe用-h列出帮助信息以后可以发现是给psExec工具。

第五个问题，哪两个账户拥有administrator权限除开原有的管理员账户。这里打开ComputerManagement,点击LocalUser andGroups再点Groups最后点右边的Administrators可以看到有猫腻，连Guest都拥有管理员权限。可以确定Guest和Jerry是有点小问题的。

第六个问题，计划任务里面有什么奇奇怪怪的任务在里面，打开TaskScheduler点击左手边的TaskScheduler Library可以发现有个叫Cleanfile system的任务每天4:55PM会启动nc监听端口。

点击下面的GameOver就更过分了每五分钟运行mimikatz:sekurla::logonPassword导出密码一次。

第七个问题，攻击者外部C2服务器IP是什么，这个问题一开始我是懵逼的想着应该是查webshell或者检查网络连接看看能不能查到奇奇怪怪的IP出来。当然网上的大佬也给出另外一种方法就是检查检查下hosts文件，攻击者在后渗透阶段可能会设置一个中转服务器让受害者主机和自己的C2(比如说CobaltStrike)之间作为一栋桥梁沟通。他们也有可能会在hosts里面多加一个IP设置成中转服务器。这里打开C:WindowsSystem32Driveretchosts文件，这里可以看到最底下的GoogleIP有点奇怪。正常来讲谷歌IP都是8.8.8.8那个免费的DNS服务器IP才对。这里突然变样基本可以确定是一个恶意IP了。

最后一个问题是攻击者最后打开了哪个端口。这里可以打开WindowsFirewall with Advanced Security 点开Inboundrules再点Allowoutside connection for development可以看到有个1337端口连着。