Gladys 是公司的一位新員工,她收到了一封電子郵件,通知她 IT 部門即將對她的個人電腦進行一些工作,她被引導打電話給 IT 團隊,他們會告訴她如何允許他們遠程訪問。然而,這個 IT 團隊實際上是一群試圖攻擊 Forela 的黑客。
Task1 上傳為 C2 代理的可執行文件叫什麼名字?
打開 Microsoft-Windows-Sysmon%4Operational.evtx 日誌文件
Microsoft-Windows-Sysmon operational.evtx是 Windows Sysmon(系統監控)生成的事件日誌文件,記錄了系統的各種活動和事件。Sysmon 是 Sysinternals Suite 中的一部分,用於增強 Windows 的日誌能力,提供詳細的事件監控,以幫助安全分析和事件響應。
Sysmon 可以監控和記錄以下類型的事件:
- 進程創建:監控新進程的創建,包括命令行參數。
- 網絡連接:記錄出站和入站網絡連接的信息。
- 文件創建時間:記錄文件的創建、修改和刪除事件。
- 驅動程序加載:監控系統中加載的驅動程序。
- 文件哈希:記錄文件的哈希值,以便後續分析。
- 註冊表操作:監控註冊表的創建、修改和刪除操作。
- 原始事件記錄:記錄其他重要的系統事件。
或者查看 MFT 記錄,在桌面上就可以看到這個文件
Task2 初始訪問時的會話 ID 是什麼?
攻擊者是通過 TeamViewer 軟件進行遠程訪問,查看 teamviewer 的日誌
日誌路徑如下:
在最開始的時間可以看到 sessionID
Task3 攻擊者試圖在 C: 驅動器上設置 Bitlocker 密碼,密碼是什麼?
查看 Windows PowerShell.evtx 日誌
base64 解碼得到密碼
Task4 攻擊者使用的名稱是什麼?
查看 teamviewer 的日誌
Task5 C2 連接回哪個 IP 地址?
查看 Microsoft-Windows-Sysmon%4Operational.evtx 日誌文件
52.56.142.81
Task6 Windows Defender 為 C2 二進制文件分配了什麼類別?
查看 Windows Defender 的日誌
VirTool/Myrddin.D
Task7 攻擊者用來操縱時間的 PowerShell 腳本的文件名是什麼?
查看 Microsoft-Windows-Sysmon%4Operational.evtx 日誌文件,過濾 PS1 後綴
可以看到與時間有關的腳本
或者分析 mft 文件,在桌面上也可以發現 PS1 腳本
Invoke-TimeWizard.ps1
Task8 初始訪問連接是什麼時候開始的?
2023/05/04 11:35:27
Task9 惡意二進制文件的 SHA1 和 SHA2 總和是多少?
分析 Windows Defener 目錄下的日誌 文件
搜索 sha1
Task10 powershell 腳本更改了機器上的時間多少次?
2371
Task11 受害用戶的 SID 是什麼?
查看 security 的日誌即可知道
S-1-5-21-3720869868-2926106253-3446724670-1003