banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

hackthebox SherlocksのUnit42靶場の記録

分類:DFIR
Sherlocks 靶場は防御的な靶場であり、あなたは与えられたログファイルからフラグの提出として手がかりを探すインシデントレスポンダーとしての役割を果たします。

image

添付ファイルをダウンロードする

image

解凍すると、evtx ログファイルが得られます。

ここで使用されているのは evtx_dump ツールで、使用方法は以前のWindows XML イベントログ(EVTX)の解析を参照してください。

EVTX は Windows イベントログファイルの形式であり、Event Log File の略称です。これは、Windows Vista 以降でマイクロソフトが使用しているログファイル形式であり、以前の EVT 形式を置き換えました。EVTX ファイルには、システム、アプリケーション、セキュリティ、その他のイベントログ情報が保存されており、システム管理者やユーザーがトラブルシューティングや監査を行うために使用されます。

タスク 1 イベントログには、イベント ID が 11 のレコードがいくつありますか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx | grep "EventID" | grep "11" | wc -l

56

image

タスク 2 コンピュータのメモリに新しいプロセスが生成されるたびに、イベント ID が 1 のレコードが生成されます。これには、コマンドライン、ファイルハッシュ、プロセスパス、親プロセスパスなどの詳細情報が含まれています。これらの情報はアナリストにとって非常に貴重であり、システム上で実行されているすべてのプログラムを把握するのに役立ち、実行中の悪意のあるプログラムを特定するのに役立ちます。では、具体的にどの悪意のあるプログラムが被害者のシステムに侵入したのでしょうか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=1' | grep "Image"

C:\\Users\\CyberJunkie\\Downloads\\Preventivo24.02.14.exe.exe

image

タスク 3 どのクラウドストレージが悪意のあるソフトウェアの配布に使用されましたか?

EventID 22 は、システムが発行した DNS クエリを検索するために使用できます。

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.EventData.QueryName'

dropbox

タスク 4 初期の悪意のあるファイルは、ディスク上に作成されたファイルのタイムスタンプを変更するという防御回避手法を採用しており、これにより、これらのファイルは古いファイルのように見えます。では、PDF ファイルに設定された新しいタイムスタンプは何ですか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=11' | jq '.Event.EventData'

2024-01-14 08:10:06

image

タスク 5 悪意のあるファイルは、ディスク上にいくつかのファイルを配置しました。"once.cmd" ファイルの正確な場所はどこですか?ファイル名を含む完全なパスを提供してください。

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.' | grep "once.cmd"

C:\Users\CyberJunkie\AppData\Roaming\Photo and Fax Vn\Photo and vn 1.1.2\install\F97891C\WindowsVolume\Games\once.cmd

タスク 6 この悪意のあるファイルは、偽のウェブサイトにアクセスしようとしました。その主な目的はおそらくネットワークの接続を確認することです。具体的には、どのウェブサイトに接続しようとしましたか?

ネットワーク接続の EventId は 5 なので、EventID=5 のレコードをフィルタリングできます。

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=5'

image

または、QueryName キーワードでフィルタリングできます。

タスク 7 この悪意のあるプログラムは、どの IP アドレスに接触しようとしましたか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=5'

image

93.184.216.34

タスク 8 この悪意のあるプログラムは、バックドア機能を持つ UltraVNC のバージョンを埋め込んだ後、自らの実行を終了しました。具体的には、いつ活動を停止しましたか?

vnc に関連するレコードを検索すると、以下のように 3 つのレコードしかありません。

image

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.EventData.TargetFilename','.Event.EventData.UtcTime'

2024-02-14 03:41:58

image

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。