攻击者访问了“Gideon”用户
上文我们对第一台target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述
gideon 0x01 - 攻击者访问了“gideon”用户,以便向allsafecybersec域控制器窃取文件,他们使用的密码是什么? 攻击者执行了net use z: \10.1.1.2c$ 指令将 10.1.1.2域控制器的c盘映射到本地的z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了
0x02 - 攻击者创建的rar文件的名称是什么?
0x03 - 攻击者向rar压缩包添加了多少文件?
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 cmdline ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 cmdscan
将进程导出成dmp格式
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 memdump -p 3048 -d ./rar
直接搜索关键字,按照txt格式搜索就可以
strings -e l 3048.dmp | grep -10 crownjewlez | grep txt
这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行
后来发现不用导出
strings -e l target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt
0x04 - 攻击者似乎在gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 filescan | grep 'system32\tasks'
导出
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 dumpfiles -q 0x000000003fc399b8 -d ./task
pos
0x05 - 恶意软件的cnc服务器是什么?
老规矩,先看第三个镜像的信息
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss imageinfo
网络扫描
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 netscan
暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 malfind | grep iexplore.exe
暂时对应了,所以此题答案就是54.84.237.92
0x06 - 用于感染pos系统的恶意软件的家族是什么?
笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 malfind -p 3208 -d ./tmp
0x07 - allsafecybersec的具体应用程序是什么?
strings process.0x83f324d8.0x50000.dmp| grep exe
0x08 - 恶意软件最初启动的文件名是什么?
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 iehistory
或者将3208进程导出来
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 memdump -p 3208 -d ./tmp
strings 3208.dmp| grep exe | grep all
OPPO Reno5 Pro入网工信部:最轻的天玑1000+手机
陶瓷电容耐压不良失效分析
水晶头5类和6类区别
谷歌为提高移动设备系统安全性采取了什么措施
从精装到智装,下一波浪潮浮现,听听智能家居的大咖们怎么说?
攻击者访问了“Gideon”用户
仪表放大器运放CLC1200与AD620参数的对比
在设计阶段降低组装成本的10种故障安全方法
中国终端厂商能否在今年抓住新的发展机遇进行翻身
AD19如何使用强大的自动布线功能
现实中的物联网是怎样的
看点:电机振动原因分析
投资400亿欧元加快电动车研发 德车企欲争夺海外市场
关于WEBENCH设计工具性能及应用介绍
忘记Console口密码的解决方法
电源抑制比提高电路图
三极管放大电路的常见分析方法
GaN晶体管与其驱动器的封装集成消除了共源电感
与其畏惧人工智能还不如做到自我约束
MCS51单片机的排序程序(ASM源代码)
gideon 0x01 - 攻击者访问了“gideon”用户,以便向allsafecybersec域控制器窃取文件,他们使用的密码是什么? 攻击者执行了net use z: \10.1.1.2c$ 指令将 10.1.1.2域控制器的c盘映射到本地的z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了
0x02 - 攻击者创建的rar文件的名称是什么?
0x03 - 攻击者向rar压缩包添加了多少文件?
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 cmdline ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 cmdscan
将进程导出成dmp格式
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 memdump -p 3048 -d ./rar
直接搜索关键字,按照txt格式搜索就可以
strings -e l 3048.dmp | grep -10 crownjewlez | grep txt
这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行
后来发现不用导出
strings -e l target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt
0x04 - 攻击者似乎在gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 filescan | grep 'system32\tasks'
导出
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss --profile=win7sp1x86_23418 dumpfiles -q 0x000000003fc399b8 -d ./task
pos
0x05 - 恶意软件的cnc服务器是什么?
老规矩,先看第三个镜像的信息
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss imageinfo
网络扫描
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 netscan
暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 malfind | grep iexplore.exe
暂时对应了,所以此题答案就是54.84.237.92
0x06 - 用于感染pos系统的恶意软件的家族是什么?
笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 malfind -p 3208 -d ./tmp
0x07 - allsafecybersec的具体应用程序是什么?
strings process.0x83f324d8.0x50000.dmp| grep exe
0x08 - 恶意软件最初启动的文件名是什么?
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 iehistory
或者将3208进程导出来
./volatility_2.6_lin64_standalone -f pos-01-c4e8f786.vmss --profile=win7sp1x86_23418 memdump -p 3208 -d ./tmp
strings 3208.dmp| grep exe | grep all
OPPO Reno5 Pro入网工信部:最轻的天玑1000+手机
陶瓷电容耐压不良失效分析
水晶头5类和6类区别
谷歌为提高移动设备系统安全性采取了什么措施
从精装到智装,下一波浪潮浮现,听听智能家居的大咖们怎么说?
攻击者访问了“Gideon”用户
仪表放大器运放CLC1200与AD620参数的对比
在设计阶段降低组装成本的10种故障安全方法
中国终端厂商能否在今年抓住新的发展机遇进行翻身
AD19如何使用强大的自动布线功能
现实中的物联网是怎样的
看点:电机振动原因分析
投资400亿欧元加快电动车研发 德车企欲争夺海外市场
关于WEBENCH设计工具性能及应用介绍
忘记Console口密码的解决方法
电源抑制比提高电路图
三极管放大电路的常见分析方法
GaN晶体管与其驱动器的封装集成消除了共源电感
与其畏惧人工智能还不如做到自我约束
MCS51单片机的排序程序(ASM源代码)