LetsDefend-Windows内存取证

LetsDefend-Windows内存取证

Windows 端点最近遭到入侵。得益于我们先进的 EDR/IDS 解决方案,我们立即注意到了这一点。警报已升级到第 2 级(事件响应者)以进行进一步调查。作为我们的取证人员,您已获得受感染主机的内存转储。您应该继续调查。

题目链接

https://app.letsdefend.io/challenge/memory-analysis

获取受感染端点内存的日期时间

就是获取内存转储的时间。

vol -f dump.mem windows.info

系统上运行的可疑进程是什么?

在Windows中,攻击者可以通过将恶意软件可执行文件重命名为 Windows 合法二进制文件名称(如 services.exe、svchosts.exe、lsass.exe 等)进行伪装。

所以验证进程是否有合法的父进程非常重要,例如 svchost.exe 应该始终是 services.exe 的父进程,而 lsass.exe 的父进程是 wininit.exe。

vol -f dump.mem windows.pstree

显示的内容太多了属实看着不方便,并且我只关心进程的父进程信息,可以用awk来过滤一下。

这样看起来好了很多,但不如Linux系统命令的pstree直观。用sed替换一下。

vol -f dump.mem windows.pstree | awk -F'\t' '{print$1,$2,$3}' | sed 's/*/L---/g'

现在看着就好很多了。pstree显示运行的lsass.exe有两个,其中一个lsass.exe的父进程为wininit.exe是正常的,但是第二个lsass.exe为explorer.exe则非常可疑

攻击者在系统上运行的恶意工具?

已经知道pid为7592的lsass.exe为可疑进程,将其从内存中dump下来。

vol -f dump.mem windows.pslist --pid 7592 --dump
md5sum 7592.lsass.exe.0x2238edc0000.dmp

提取MD5在VT上检索。

哪个用户帐户被盗用?

要查看用户名和域,可以使用 windows.session 插件,它将显示用户名和属于他们的进程。

vol -f dump.mem windows.sessions

很明显恶意的lsass.exe是以MSEDGEWIN10/CyberJunkie用户运行的。

被泄露的用户密码是什么?

Volatility 有一个 hashdump 的插件,其工作原理类似于 mimikatz。我们可以使用它来转储哈希,然后用hashcat破解它。

CyberJunkie用户的ntlm哈希复制出来,用kali的hashcat进行破解。

hashcat -m 1000 cyberjunkie.hash /usr/share/wordlists/rockyou.txt --force

得到CyberJunkie用户的密码为password123。

当然不一定要用hashcat,也可以用在线ntlm查询网站破解。

赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论