Windows內(nèi)存取證知識淺析-上篇

涉及的工具：

SysInfoTools-ost-viewer-pro
volatility_2.6_lin64_standalone
VT在線工具

使用到的鏡像文件：

target1-1dd8701f.vmss
target2-6186fe9f.vmss
POS-01-c4e8f786.vmss

題干：

一名員工報告說，他的機(jī)器在收到一封可疑的安全更新電子郵件后開始出現(xiàn)奇怪的行為。事件響應(yīng)團(tuán)隊從可疑計算機(jī)中捕獲了幾個內(nèi)存轉(zhuǎn)儲，以供進(jìn)一步檢查。分析轉(zhuǎn)儲并幫助 SOC 分析師團(tuán)隊弄清楚發(fā)生了什么！

Target1

0x01 - 欺騙前臺員工安裝安全更新的電子郵箱是什么？

查看鏡像信息

/volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss imageinfo

查看進(jìn)程列表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pslist

因為題目已經(jīng)說了，收到了電子郵件，所以直接看outlook.exe就可以；導(dǎo)出進(jìn)程到dll目錄下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -p 3196 -n -u -D ./dll

在翻垃圾的時候，翻到了幾個ost.dat的文件，該文件其實就是微軟的郵件的一種離線格式，當(dāng)然了我說的是ost，與pts類似

這里可以不轉(zhuǎn)換格式，直接用工具打開

也可以用我上一期的玩法，解包

readpst -S file.3196.0x84eed400.Frontdesk@allsafecybersec.com - outlook2.ost.dat

0X02 - 電子郵件中用于釣魚的文件叫什么名字？

0x03 - 惡意文件家族是什么？

上面獲取到了下載地址，本來想直接拿著地址去比較的，發(fā)現(xiàn)還是天真了

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | grep AnyConnectInstaller.exe

隨便導(dǎo)出一個

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003df12dd0 -D ./

下載之后的東西是帶特殊后綴的，但是不影響通過md5值比對樣本

md5sum file.None.0x85cd09a0.img

0x04 - 惡意軟件似乎正在利用進(jìn)程注入。被注入的進(jìn)程的 PID 是多少？

這道題挺牽強(qiáng)的，僅僅是內(nèi)存取證的話是很難分辨出究竟是哪一個程序可能存在進(jìn)程注入的情況，這里面不是dll注入，所以使用檢測dll注入的方式是不恰當(dāng)?shù)?/p>

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 pstree

其實這里很多進(jìn)程都存在子進(jìn)程，所以單獨(dú)借助vol是沒辦法確定究竟哪一個才是有問題的，看了下別人的解題思路，在vt有一處進(jìn)程

恕我直言，這里面依然有很多其他的進(jìn)程被創(chuàng)建，那為什么不能是svchost呢？
后來想起從發(fā)現(xiàn)的郵件里找到的ip地址

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan | grep "180.76.254.120"

0x05- 惡意軟件在計算機(jī)重新啟動后依然能保持自啟動是為什么？

此題其實就是在考驗個人對惡意軟件權(quán)限維持的一種理解，常規(guī)的惡意軟件為了保證計算機(jī)重新啟動后自己依然能平穩(wěn)運(yùn)行，特別是在windows系統(tǒng)里便采用了多種方式，比如說計算機(jī)啟動項：

C:Users用戶名AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
注冊表服務(wù)
計算機(jī)HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
計算機(jī)HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
計算機(jī)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
計算機(jī)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > output.txt

此命令可以將內(nèi)存鏡像里的文件目錄信息導(dǎo)出來

全局檢索之后，沒有在類似啟動目錄里發(fā)現(xiàn)，所以只能去找注冊表

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpregistry --dump ./regedist

使用工具讀取注冊表

打擾了，后來發(fā)現(xiàn)可以直接在vt看到

0x06 - 惡意軟件通常使用唯一的值或名稱來確保系統(tǒng)上只有一個副本運(yùn)行。惡意軟件使用的唯一名稱是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 handles -p 2996 | grep "Mutant"

這里直接打印2996進(jìn)程的資源句柄；Mutant解釋如下：

在計算機(jī)科學(xué)中，"Mutant"是指一種同步原語或?qū)ο?，用于實現(xiàn)并發(fā)編程中的互斥鎖（Mutex）。Mutant 是 Windows 操作系統(tǒng)中對應(yīng)于互斥鎖的術(shù)語。

互斥鎖（Mutex）是一種同步機(jī)制，用于控制多個線程對共享資源的訪問。它提供了一種方法，確保在任何給定時間只有一個線程可以訪問共享資源，從而避免數(shù)據(jù)競爭和不一致性。

在操作系統(tǒng)內(nèi)核中，Mutant 是通過內(nèi)核對象來實現(xiàn)的，用于協(xié)調(diào)進(jìn)程間的互斥訪問。它可以用來保護(hù)共享資源，以確保同一時間只有一個進(jìn)程能夠獲取到該資源的訪問權(quán)限。

0x07 - 似乎一個臭名昭著的黑客在當(dāng)前的攻擊者之前就破壞了這個系統(tǒng)，你能說出這個黑客出自哪部電影嗎？

這里是真沒答上來，抄襲的大佬的

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep -oP '(?<=\Users\)[^\]+' | sort -u

這里我也不知道為什么人家直接定位/user ，但是根據(jù)人家的定位，看起來東西是在注冊表里，所以就可以找注冊表里的用戶數(shù)據(jù)了
可以通過查看注冊表software注冊表

這個注冊表的內(nèi)容主要是用戶的一些個人信息；這里僅僅是人家的名字，還得找電影，問題是我也沒看過啊，找也不知道哪個是

0x08 - 管理員帳戶的 NTLM 密碼哈希是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  hashdump

0x09 - 攻擊者似乎已將某些工具轉(zhuǎn)移到受感染的前臺主機(jī)。攻擊者轉(zhuǎn)移了多少工具？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

此題應(yīng)該是銜接下題，上傳的工具應(yīng)該是破解hash用的，按理說是4個，看了下別人的答案實際是3個

后來去github上搜了一下，發(fā)現(xiàn)有倆工具其實給算的一個工具

0x10 - 前臺本地管理員帳戶的密碼是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  consoles

0x11 - nbtscan.exe工具的創(chuàng)建時間戳是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  timeliner | grep 'nbtscan'

0x12 - 攻擊者似乎已將nbtscan.exe工具輸出存儲在名為nbs.txt的文本文件中。該文件中第一臺計算機(jī)的 IP 地址是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418  filescan | grep "nbs.txt"

導(dǎo)出文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fdb7808 -D ./out

0x13- 攻擊者使用的完整 IP 地址和端口是什么？

這里使用netscan查看所有的網(wǎng)絡(luò)連接狀態(tài)

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan

為什么圈出這個呢，因為第2題中，我們在攻擊者的電子郵件中就已經(jīng)獲取到了這個ip地址，并且我們在第四題中得出攻擊者利用iexplore.exe進(jìn)程進(jìn)行了進(jìn)程注入，同時我們在第12題得知的ip地址也能對上，所以答案就出來了

0x14 - 看來攻擊者還安裝了合法的遠(yuǎn)程管理軟件。正在運(yùn)行的進(jìn)程的名稱是什么？

這里在第13題最后面就看到了TeamViewer.exe ，或者可以執(zhí)行pslist

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   pslist

至于這里為什么一定是TeamViewer，請看繼續(xù)分析

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   cmdline

我們從這里看到了一個log日志，我們可以排查一下

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   filescan | grep TeamViewer10_Logfile.log

然后導(dǎo)出這四個文件

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   dumpfiles -Q 0x000000003fa2e2d8,0x000000003fa564e0,0x000000003fc9b038,0x000000003fd5bbb8 -D ./TVlog

我們將log文件導(dǎo)出來之后，就可以進(jìn)去看一下，還好里面的日志不是很大，我們發(fā)現(xiàn)了里面的ip地址，與我們之前看到的攻擊者ip地址對應(yīng)了，所以這道題的答案也就呼之欲出了

0x15 - 攻擊者似乎還使用了內(nèi)置的遠(yuǎn)程訪問方法。他們連接的IP地址是什么？

./volatility_2.6_lin64_standalone -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418   netscan | grep 3389

第一個被攻擊的機(jī)器暫時告一段落了，下一期將繼續(xù)銜接此處，第一題可以看出來，攻擊者進(jìn)行了內(nèi)網(wǎng)的橫向移動，那么下一期將會繼續(xù)進(jìn)行溯源取證

審核編輯：劉清