涉及的工具：

SysInfoTools-ost-viewer-pro
volatility_2.6_lin64_standalone
VT在線工具

使用到的鏡像文件：

target1-1dd8701f.vmss
target2-6186fe9f.vmss
POS-01-c4e8f786.vmss

題干：

一名員工報告說，他的機器在收到一封可疑的安全更新電子郵件后開始出現奇怪的行為。事件響應團隊從可疑計算機中捕獲了幾個內存轉儲，以供進一步檢查。分析轉儲并幫助 SOC 分析師團隊弄清楚發生了什么！

Target1

0x01 - 欺騙前臺員工安裝安全更新的電子郵箱是什么？

查看鏡像信息

/volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss imageinfo

查看進程列表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pslist

因為題目已經說了，收到了電子郵件，所以直接看outlook.exe就可以；導出進程到dll目錄下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -p 3196 -n -u -D ./dll

在翻垃圾的時候，翻到了幾個ost.dat的文件，該文件其實就是微軟的郵件的一種離線格式，當然了我說的是ost，與pts類似

這里可以不轉換格式，直接用工具打開

也可以用我上一期的玩法，解包

readpst -S file.3196.0x84eed400.Frontdesk@allsafecybersec.com - outlook2.ost.dat

0X02 - 電子郵件中用于釣魚的文件叫什么名字？

0x03 - 惡意文件家族是什么？

上面獲取到了下載地址，本來想直接拿著地址去比較的，發現還是天真了

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | grep AnyConnectInstaller.exe

隨便導出一個

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003df12dd0 -D ./

下載之后的東西是帶特殊后綴的，但是不影響通過md5值比對樣本

md5sum file.None.0x85cd09a0.img

0x04 - 惡意軟件似乎正在利用進程注入。被注入的進程的 PID 是多少？

這道題挺牽強的，僅僅是內存取證的話是很難分辨出究竟是哪一個程序可能存在進程注入的情況，這里面不是dll注入，所以使用檢測dll注入的方式是不恰當的

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pstree

其實這里很多進程都存在子進程，所以單獨借助vol是沒辦法確定究竟哪一個才是有問題的，看了下別人的解題思路，在vt有一處進程

恕我直言，這里面依然有很多其他的進程被創建，那為什么不能是svchost呢？
后來想起從發現的郵件里找到的ip地址

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan | grep "180.76.254.120"

0x05- 惡意軟件在計算機重新啟動后依然能保持自啟動是為什么？

此題其實就是在考驗個人對惡意軟件權限維持的一種理解，常規的惡意軟件為了保證計算機重新啟動后自己依然能平穩運行，特別是在windows系統里便采用了多種方式，比如說計算機啟動項：

C:Users用戶名AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
注冊表服務
計算機HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
計算機HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
計算機HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
計算機HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > output.txt

此命令可以將內存鏡像里的文件目錄信息導出來

全局檢索之后，沒有在類似啟動目錄里發現，所以只能去找注冊表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpregistry --dump ./regedist

使用工具讀取注冊表

打擾了，后來發現可以直接在vt看到

0x06 - 惡意軟件通常使用唯一的值或名稱來確保系統上只有一個副本運行。惡意軟件使用的唯一名稱是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 handles -p 2996 | grep "Mutant"

這里直接打印2996進程的資源句柄；Mutant解釋如下：

在計算機科學中，"Mutant"是指一種同步原語或對象，用于實現并發編程中的互斥鎖（Mutex）。Mutant 是 Windows 操作系統中對應于互斥鎖的術語。

互斥鎖（Mutex）是一種同步機制，用于控制多個線程對共享資源的訪問。它提供了一種方法，確保在任何給定時間只有一個線程可以訪問共享資源，從而避免數據競爭和不一致性。

在操作系統內核中，Mutant 是通過內核對象來實現的，用于協調進程間的互斥訪問。它可以用來保護共享資源，以確保同一時間只有一個進程能夠獲取到該資源的訪問權限。

0x07 - 似乎一個臭名昭著的黑客在當前的攻擊者之前就破壞了這個系統，你能說出這個黑客出自哪部電影嗎？

這里是真沒答上來，抄襲的大佬的

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep -oP '(?<=\Users\)[^\]+' | sort -u

這里我也不知道為什么人家直接定位/user ，但是根據人家的定位，看起來東西是在注冊表里，所以就可以找注冊表里的用戶數據了
可以通過查看注冊表software注冊表

這個注冊表的內容主要是用戶的一些個人信息；這里僅僅是人家的名字，還得找電影，問題是我也沒看過啊，找也不知道哪個是

0x08 - 管理員帳戶的 NTLM 密碼哈希是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  hashdump

0x09 - 攻擊者似乎已將某些工具轉移到受感染的前臺主機。攻擊者轉移了多少工具？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

此題應該是銜接下題，上傳的工具應該是破解hash用的，按理說是4個，看了下別人的答案實際是3個

后來去github上搜了一下，發現有倆工具其實給算的一個工具

0x10 - 前臺本地管理員帳戶的密碼是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

0x11 - nbtscan.exe工具的創建時間戳是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  timeliner | grep 'nbtscan'

0x12 - 攻擊者似乎已將nbtscan.exe工具輸出存儲在名為nbs.txt的文本文件中。該文件中第一臺計算機的 IP 地址是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep "nbs.txt"

導出文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fdb7808 -D ./out

0x13- 攻擊者使用的完整 IP 地址和端口是什么？

這里使用netscan查看所有的網絡連接狀態

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan

為什么圈出這個呢，因為第2題中，我們在攻擊者的電子郵件中就已經獲取到了這個ip地址，并且我們在第四題中得出攻擊者利用iexplore.exe進程進行了進程注入，同時我們在第12題得知的ip地址也能對上，所以答案就出來了

0x14 - 看來攻擊者還安裝了合法的遠程管理軟件。正在運行的進程的名稱是什么？

這里在第13題最后面就看到了TeamViewer.exe ，或者可以執行pslist

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   pslist

至于這里為什么一定是TeamViewer，請看繼續分析

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   cmdline

我們從這里看到了一個log日志，我們可以排查一下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   filescan | grep TeamViewer10_Logfile.log

然后導出這四個文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fa2e2d8,0x000000003fa564e0,0x000000003fc9b038,0x000000003fd5bbb8 -D ./TVlog

我們將log文件導出來之后，就可以進去看一下，還好里面的日志不是很大，我們發現了里面的ip地址，與我們之前看到的攻擊者ip地址對應了，所以這道題的答案也就呼之欲出了

0x15 - 攻擊者似乎還使用了內置的遠程訪問方法。他們連接的IP地址是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan | grep 3389

第一個被攻擊的機器暫時告一段落了，下一期將繼續銜接此處，第一題可以看出來，攻擊者進行了內網的橫向移動，那么下一期將會繼續進行溯源取證

審核編輯：劉清