每天一个入狱小技巧 2023-11-09 09:10 发表于北京
题干:
作为 Security Blue 团队的成员,您的任务是使用 Redline 和 Volatility 工具分析内存转储。 您的目标是跟踪攻击者在受感染计算机上采取的步骤,并确定他们如何设法绕过网络入侵检测系统“NIDS”。 您的调查将涉及识别攻击中使用的特定恶意软件系列及其特征。 此外,您的任务是识别和缓解攻击者留下的任何痕迹或足迹。 0x01 - 可疑进程的名称是什么?
这里必须使用3版本的vol脚本,笔者尝试使用2.6版本的,但是半天也获取不到imageinfo信息,因为不知道咋回事,最后使用3版本的vol,挨个试了一下才能用 python vol.py -f ../../MemoryDump.memwindows.psscan 没有人能只凭借进程的名称就猜到谁有问题,除非这个进程叫rootkit.exe,所以这里还得联动其他的插件去排查,下列命令为扫描恶意代码 python vol.py -f ../../MemoryDump.memwindows.malfind oneetx.exe 基本吻合,但是由于不确定到底是不是,所以需要按照这个pid把东西导出来,这里面也有坑,笔者原本指向按照pid转储进程,或者按照physaddr 转储,但是转出来的不是空文件,就是好几个Gb的mem文件,或者啥也不是的东西,所以这里只能按照进程转储文件 python vol.py -f ../../MemoryDump.memwindows.dumpfiles --pid 5896 这里会转储出来很多很多的东西 大家可以对比一下这个文件 md5sum file.0xad818da36c30.0xad818ca48660.ImageSectionObject.oneetx.exe.img 0x02 - 可疑进程的子进程名称是什么? python vol.py -f ../../MemoryDump.memwindows.pstree rundll32.exe
0x03 - 应用于可疑进程内存区域的内存保护是什么? python vol.py -f ../../MemoryDump.memwindows.vadinfo | grep oneetx.exe python vol.py -f ../../MemoryDump.memwindows.vadinfo --pid 5896 0x04 - 负责 VPN 连接的进程的名称是什么? python vol.py -f ../../MemoryDump.memwindows.psscan 说实话这个没用过的人猜不出来,如果写这个那就错了 python vol.py -f ../../MemoryDump.memwindows.pstree 具有一定的迷惑行为,所以vpn的进程应该是Outline.exe
0x05 - 攻击者的 IP 地址是什么? python vol.py -f ../../MemoryDump.memwindows.netscan | grep -10 oneetx.exe 77.91.124.20 0x06 - 恶意软件家族的名称是什么?
这里是真没答上来,最后看了一下大佬的,发现他们也没有一个思路,最后也都是看题目,根据redline来检索文件,觉得有些牵强 strings ../../MemoryDump.mem| grep Redline 0x07 - 攻击者访问的PHP文件的完整URL是什么? strings ../../MemoryDump.mem| grep 77.91.124.20 -10 strings ../../MemoryDump.mem| grep oneetx.exe
C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe
| 
发表于 2023-11-12 13:31:40