Gladys 是公司的一位新员工,她收到了一封电子邮件,通知她 IT 部门即将对她的个人电脑进行一些工作,她被引导打电话给 IT 团队,他们会告诉她如何允许他们远程访问。然而,这个 IT 团队实际上是一群试图攻击 Forela 的黑客。
Task1 上传为 C2 代理的可执行文件叫什么名字?
打开 Microsoft-Windows-Sysmon%4Operational.evtx 日志文件
Microsoft-Windows-Sysmon operational.evtx
是 Windows Sysmon(系统监控)生成的事件日志文件,记录了系统的各种活动和事件。Sysmon 是 Sysinternals Suite 中的一部分,用于增强 Windows 的日志能力,提供详细的事件监控,以帮助安全分析和事件响应。
Sysmon 可以监控和记录以下类型的事件:
- 进程创建:监控新进程的创建,包括命令行参数。
- 网络连接:记录出站和入站网络连接的信息。
- 文件创建时间:记录文件的创建、修改和删除事件。
- 驱动程序加载:监控系统中加载的驱动程序。
- 文件哈希:记录文件的哈希值,以便后续分析。
- 注册表操作:监控注册表的创建、修改和删除操作。
- 原始事件记录:记录其他重要的系统事件。
或者查看 MFT 记录,在桌面上就可以看到这个文件
Task2 初始访问时的会话 ID 是什么?
攻击者是通过 TeamViewer 软件进行远程访问,查看 teamviewer 的日志
日志路径如下:
在最开始的时间可以看到 sessionID
Task3 攻击者试图在 C: 驱动器上设置 Bitlocker 密码,密码是什么?
查看 Windows PowerShell.evtx 日志
base64 解码得到密码
Task4 攻击者使用的名称是什么?
查看 teamviewer 的日志
Task5 C2 连接回哪个 IP 地址?
查看 Microsoft-Windows-Sysmon%4Operational.evtx 日志文件
52.56.142.81
Task6 Windows Defender 为 C2 二进制文件分配了什么类别?
查看 Windows Defender 的日志
VirTool/Myrddin.D
Task7 攻击者用来操纵时间的 PowerShell 脚本的文件名是什么?
查看 Microsoft-Windows-Sysmon%4Operational.evtx 日志文件,过滤 PS1 后缀
可以看到与时间有关的脚本
或者分析 mft 文件,在桌面上也可以发现 PS1 脚本
Invoke-TimeWizard.ps1
Task8 初始访问连接是什么时候开始的?
2023/05/04 11:35:27
Task9 恶意二进制文件的 SHA1 和 SHA2 总和是多少?
分析 Windows Defener 目录下的日志 文件
搜索 sha1
Task10 powershell 脚本更改了机器上的时间多少次?
2371
Task11 受害用户的 SID 是什么?
查看 security 的日志即可知道
S-1-5-21-3720869868-2926106253-3446724670-1003