分类:DFIR
Sherlocks 靶場是防禦性靶場,你作為事件響應者從給定的日誌文件中查找線索作為 flag 提交。
下載附件
解壓後得到了一個 evtx 日誌文件
這裡使用的是 evtx_dump 工具,使用方法可參考之前的Windows XML 事件日誌(EVTX)解析。
EVTX 是 Windows 事件日誌文件的格式,全稱為 Event Log File,它是微軟從 Windows Vista 開始使用的一種日誌文件格式,取代了早期的 EVT 格式。EVTX 文件保存了系統、應用程序、安全性和其他事件日誌信息,用於系統管理員和用戶進行故障排除和審計。
Task 1 事件日誌中有多少條事件 ID 為 11 的記錄?
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx | grep "EventID" | grep "11" | wc -l
56
Task2 每當計算機內存中生成一個新進程,就會生成一個事件 ID 為 1 的記錄,其中包含了諸如命令行、文件哈希、進程路徑、父進程路徑等詳細信息。這些信息對於分析師來說極為寶貴,因為它們使我們能夠一覽系統中運行的所有程序,從而幫助我們識別出任何正在運行的惡意程序。那麼,究竟是哪個惡意程序侵入了受害者的系統呢?
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=1' | grep "Image"
C:\\Users\\CyberJunkie\\Downloads\\Preventivo24.02.14.exe.exe
Task3 哪個雲盤被用於分發惡意軟件?
EventID 22 可用於查找系統發出的任何 DNS 查詢。
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.EventData.QueryName'
dropbox
Task4 初始的惡意文件採用了一種防禦規避手段,即修改了它在磁盤上創建的文件的時間戳,讓這些文件看起來像是舊文件。那麼,它為 PDF 文件設置的新時間戳是什麼?
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=11' | jq '.Event.EventData'
2024-01-14 08:10:06
Task5 惡意文件在硬盤上放置了一些文件。"once.cmd" 文件在硬盤上的確切位置在哪裡?請提供包含文件名的完整路徑。
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.' | grep "once.cmd"
C:\Users\CyberJunkie\AppData\Roaming\Photo and Fax Vn\Photo and vn 1.1.2\install\F97891C\WindowsVolume\Games\once.cmd
Task6 這個惡意文件企圖訪問一個虛假的網址,其主要目的很可能是為了驗證網絡是否暢通。它究竟嘗試著連接到哪個網址?
網絡連接的 EventId 是 5,所以可以過濾出 EventID=5 的記錄
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=5'
也可以過濾:QueryName 關鍵字
Task7 這個惡意程序試圖去接觸哪個 IP 地址呢?
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=5'
93.184.216.34
Task8 這個惡意程序在植入了帶有後門功能的 UltraVNC 版本後,自行結束了運行。它是什麼時候停止活動的呢?
查找 vnc 相關的記錄,如下只有三條
evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.EventData.TargetFilename','.Event.EventData.UtcTime'
2024-02-14 03:41:58