Пробуем свои силы, используя Volatility, для прохождения CTF. Часть 1
Life-Hack [Жизнь-Взлом]/ХакингНе так давно мы уже затрагивали тему начальных шагов а расследованиях компьютерных инцидентов с использованием образа диска и FTK imager. Теперь предлагаем использовать дамп памяти и инструмента volatility.
В этой статье я использую volatility для анализа дампа памяти с машины, зараженной вредоносной программой meterpreter. Файл принадлежит к ориентированному на blue team CTF на сайте CyberDefenders под названием “DumpMe”
Скачиваем архив и распаковываем с паролем, указанным на скриншоте
1. What is the SHA1 hash of Triage-Memory.mem (memory dump)?
Какое значение SHA1-хэш файла Triage-Memory.mem (дамп памяти)?
Я использовал следующую команду для получения SHA1-хэша дампа памяти “Triage-Memory.mem”, так как встроенные средства самые лучше средства. Поэтому используем старый и добрый (это не точно) certutil, по умолчанию с аргументом -hashfile он использует алгоритм SHA-1, что нам и подходит
certutil -hashfile D:\volatility\Triage-Memory.mem
2.What volatility profile is the most appropriate for this machine? (ex: Win10x86_14393)
Какой профиль volatility наиболее подходит для этой машины? (например: Win10x86_14393)
Используем команду следующего синтаксиса
volatility -f Triage-Memory.mem imageinfo
Предполагаемый профиль файла – Win7SP1x64, поэтому мы можем сказать, что ОС этого файла дампа – Windows.
3. What was the process ID of notepad.exe?
Каков был идентификатор процесса notepad.exe?
Мы можем использовать плагин pslist, предоставляемый volatility, чтобы перечислить все процессы в образе памяти.
volatility -f Triage-Memory.mem --profile=Win7SP1x64 pslist
Просматривая список процессов, я вижу PID “notepad.exe”
4. Name the child process of wscript.exe.
Назовите дочерний процесс wscript.exe.
Все еще глядя на вывод плагина pslist выше, я вижу процесс “wscript.exe”, который имеет PID 5116. Прямо под процессом “wscript.exe” я вижу процесс “UWkpjFjDzM.exe”, который имеет PPID 5116 (т.е. wscript.exe). Это делает “UWkpjFjDzM.exe” дочерним процессом “wscript.exe”.
Ответ: UWkpjFjDzM.exe
5. What was the IP address of the machine at the time the RAM dump was created?
Каков был IP-адрес машины в момент создания дампа ОЗУ
Я использовал плагин netscan в volatility для определения сетевых подключений. Посмотрев в столбце локального адреса, я увидел IP-адрес машины на момент создания дампа RAM.
volatility -f Triage-Memory.mem --profile=Win7SP1x64 netscan
Очевидно, ответ 10.0.0.101
6. Based on the answer regarding the infected PID, can you determine the IP of the attacker?
Основываясь на ответе относительно PID зараженного процесса, можете ли вы определить IP-адрес злоумышленника?
Ранее мы выявили подозрительный процесс под названием “UWkpjFjDzM.exe”, который был порожден процессом “wscript.exe”. Windows Script Host обычно используется для выполнения вредоносных сценариев. Глядя на результаты работы плагина netscan, я вижу, что подозрительный процесс установил сетевое соединение с зараженной машиной.
Ответ очевидно 10.0.0.106
7. How many processes are associated with VCRUNTIME140.dll?
Сколько процессов связано с VCRUNTIME140.dll?
Мы можем использовать плагин dlllist для просмотра всех DLL, загруженных в память, а затем отфильтровать вывод для “VCRUNTIME140.dll”. Я вижу, что пять процессов связаны с “VCRUNTIME140.dll”.
volatility -f Triage-Memory.mem --profile=Win7SP1x64 dlllist | | findstr "VCRUNTIME140.dlll
Продолжение следует...