搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      攻擊者訪問了“Gideon”用戶

      哆啦安全 ? 來源:哆啦安全 ? 2023-11-29 15:50 ? 次閱讀

      上文我們對第一臺Target機(jī)器進(jìn)行內(nèi)存取證,今天我們繼續(xù)往下學(xué)習(xí),內(nèi)存鏡像請從上篇獲取,這里不再進(jìn)行贅述

      Gideon

      0x01 - 攻擊者訪問了“Gideon”用戶,以便向AllSafeCyberSec域控制器竊取文件,他們使用的密碼是什么?

      攻擊者執(zhí)行了net use z: \10.1.1.2c$ 指令將 10.1.1.2域控制器的C盤映射到本地的Z盤,并且使用了rar壓縮工具將文件存儲(chǔ)在 crownjewlez.rar里,所以密碼就在這里了

      ce2d0384-8e49-11ee-939d-92fbcf53809c.png

      0x02 - 攻擊者創(chuàng)建的RAR文件的名稱是什么?

      ce419524-8e49-11ee-939d-92fbcf53809c.png

      0x03 - 攻擊者向RAR壓縮包添加了多少文件?

      ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

      ce61486a-8e49-11ee-939d-92fbcf53809c.png

      將進(jìn)程導(dǎo)出成dmp格式

      ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

      ce6ca0fc-8e49-11ee-939d-92fbcf53809c.png

      直接搜索關(guān)鍵字,按照txt格式搜索就可以

      strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

      ce854724-8e49-11ee-939d-92fbcf53809c.png

      這里亂七八糟的,數(shù)來數(shù)去也就是3個(gè),這里grep txt的原因是因?yàn)槲覀冊谏厦娴?txt就已經(jīng)知道別人只是把txt文件壓縮了,所以我們只要看txt文件就行
      后來發(fā)現(xiàn)不用導(dǎo)出

      strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

      ce9216fc-8e49-11ee-939d-92fbcf53809c.png

      0x04 - 攻擊者似乎在Gideon的機(jī)器上創(chuàng)建了一個(gè)計(jì)劃任務(wù)。與計(jì)劃任務(wù)關(guān)聯(lián)的文件的名稱是什么?

      ./volatility_2.6_lin64_standalone-ftarget2-6186fe9f.vmss--profile=Win7SP1x86_23418filescan|grep'System32\Tasks'

      ceb28a7c-8e49-11ee-939d-92fbcf53809c.png

      導(dǎo)出

      ./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

      cec79980-8e49-11ee-939d-92fbcf53809c.png

      cee41f56-8e49-11ee-939d-92fbcf53809c.png

      POS

      0x05 - 惡意軟件的CNC服務(wù)器是什么?

      老規(guī)矩,先看第三個(gè)鏡像的信息

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

      cef1276e-8e49-11ee-939d-92fbcf53809c.png

      網(wǎng)絡(luò)掃描

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

      cf074436-8e49-11ee-939d-92fbcf53809c.png

      暫時(shí)看到iexplore.exe ,該進(jìn)程貫穿核心,而后我們繼續(xù)往下看,嘗試過濾一下惡意代碼掃描結(jié)果

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

      cf1e898e-8e49-11ee-939d-92fbcf53809c.png

      暫時(shí)對應(yīng)了,所以此題答案就是54.84.237.92

      cf38e8ce-8e49-11ee-939d-92fbcf53809c.png

      0x06 - 用于感染POS系統(tǒng)的惡意軟件的家族是什么?

      筆者嘗試了很多方法都沒有找到正確的木馬家族,然后就看了一下國外大佬的,才知道原來malfind也可以導(dǎo)出文件

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

      cf4584da-8e49-11ee-939d-92fbcf53809c.png

      cf6afed6-8e49-11ee-939d-92fbcf53809c.png

      cf80f63c-8e49-11ee-939d-92fbcf53809c.png

      0x07 - Allsafecybersec的具體應(yīng)用程序是什么?

      strings process.0x83f324d8.0x50000.dmp| grep exe

      cfaca25a-8e49-11ee-939d-92fbcf53809c.png

      0x08 - 惡意軟件最初啟動(dòng)的文件名是什么?

      ./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

      cfc499aa-8e49-11ee-939d-92fbcf53809c.png

      或者將3208進(jìn)程導(dǎo)出來

      ./volatility_2.6_lin64_standalone-fPOS-01-c4e8f786.vmss--profile=Win7SP1x86_23418memdump-p3208-D./tmp

      cfe38d56-8e49-11ee-939d-92fbcf53809c.png

      strings 3208.dmp| grep exe | grep all

      cff9fdde-8e49-11ee-939d-92fbcf53809c.png


      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
      • 控制器
        +關(guān)注

        關(guān)注

        112

        文章

        16105

        瀏覽量

        177080
      • CNC
        CNC
        +關(guān)注

        關(guān)注

        7

        文章

        287

        瀏覽量

        35024
      • RAR
        RAR
        +關(guān)注

        關(guān)注

        0

        文章

        3

        瀏覽量

        6053

      原文標(biāo)題:Gideon

      文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關(guān)推薦

        對嵌入式系統(tǒng)的攻擊 攻擊者通過什么途徑得到ATM的密鑰呢?

           攻擊著可能從最簡單的操作開始,假如密鑰存儲(chǔ)在外部存儲(chǔ)器,攻擊者只需簡單地訪問地址和數(shù)據(jù)總線竊取密鑰。即使密鑰沒有連續(xù)存放在存儲(chǔ)器內(nèi),攻擊者仍然可以**外部代碼,確定哪個(gè)存儲(chǔ)器包含
        發(fā)表于 08-11 14:27

        CC攻擊

        了解CC攻擊的原理及如果發(fā)現(xiàn)CC攻擊和對其的防范措施。   1、攻擊原理   CC攻擊的原理就是攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對方服
        發(fā)表于 09-10 15:59

        阿里云DDoS高防 - 訪問攻擊日志實(shí)時(shí)分析(三)

        DDoS保護(hù)的網(wǎng)站目前的總體運(yùn)營狀況,包括有效請求狀況、流量、趨勢以及被CC攻擊的流量、峰值、攻擊者分布等。[/tr][tr=transparent]OS訪問中心
        發(fā)表于 07-11 15:16

        網(wǎng)絡(luò)攻擊的相關(guān)資料分享

        持續(xù)檢測現(xiàn)有網(wǎng)絡(luò)中的流量變化或者變化趨勢,從而得到相應(yīng)信息的一種被動(dòng)攻擊方式。主動(dòng)攻擊:是指通過一系列的方法,主動(dòng)地獲取向被攻擊對象實(shí)施破壞的一種攻擊方式。典型的主動(dòng)
        發(fā)表于 12-23 07:00

        cc攻擊防御解決方法

        不到真實(shí)ip,但是此舉只能防住部分比較菜的攻擊者,除非你做到真正的把ip隱藏起來。禁止代理訪問前面講了攻擊者是通過大量代理進(jìn)行攻擊,設(shè)置禁止代理訪問
        發(fā)表于 01-22 09:48

        基于攻擊者角度的網(wǎng)絡(luò)安全評估方法

        針對 網(wǎng)絡(luò)安全 的評估問題,提出了基于攻擊者角度的評估模型,并以此為依據(jù)建立評估指標(biāo)體系。在此基礎(chǔ)上,借助AHP灰色理論對網(wǎng)絡(luò)的安全屬性在網(wǎng)絡(luò)攻擊過程中遭受的破壞程度進(jìn)
        發(fā)表于 07-13 11:08 ?21次下載
        基于<b class='flag-5'>攻擊者</b>角度的網(wǎng)絡(luò)安全評估方法

        攻擊者為中心的安全協(xié)議驗(yàn)證機(jī)制

        提出一種能對安全協(xié)議進(jìn)行分析的自動(dòng)化驗(yàn)證機(jī)制。提出需求的概念,認(rèn)為需求是攻擊者未知但又對攻擊者合成目標(biāo)項(xiàng)至關(guān)重要的知識集合,并建立了以需求為中心的攻擊者模型;設(shè)計(jì)一種以攻擊者為中心的狀
        發(fā)表于 01-09 11:05 ?0次下載
        以<b class='flag-5'>攻擊者</b>為中心的安全協(xié)議驗(yàn)證機(jī)制

        攻擊者可通過本地WiFi控制目標(biāo)iPhone

        人們一般認(rèn)為這種攻擊方式需要社會(huì)工程的參與,因?yàn)?iPhone 機(jī)主至少需要點(diǎn)擊 iPhone 設(shè)備上的彈窗以同意與攻擊者的設(shè)備進(jìn)行配對。但這并不難實(shí)現(xiàn),用戶經(jīng)常會(huì)在匆忙中連接陌生人的筆記本為手機(jī)臨時(shí)充電,而沒有在意與陌生人進(jìn)行
        的頭像 發(fā)表于 04-21 10:29 ?4897次閱讀

        攻擊者怎樣在智能家居系統(tǒng)中制造混亂

        安全公司趨勢科技的最新研究表明,在普通家庭中發(fā)現(xiàn)一些設(shè)備比其他設(shè)備更容易受到網(wǎng)絡(luò)攻擊,而且攻擊者有很多方法制造混亂。
        發(fā)表于 09-03 14:17 ?441次閱讀

        最新報(bào)告指出:DDoS攻擊者在2020年第二季度已改變攻擊策略

        根據(jù)Nexusguard的最新報(bào)告,DDoS攻擊者在2020年第二季度改變了攻擊策略,點(diǎn)塊式(Bit-and-piece)DDoS攻擊與去年同期相比增加了570%。
        的頭像 發(fā)表于 10-12 12:04 ?2114次閱讀

        谷歌在Linux內(nèi)核發(fā)現(xiàn)藍(lán)牙漏洞,攻擊者可運(yùn)行任意代碼或訪問敏感信息

        谷歌安全研究人員在Linux Kernel中發(fā)現(xiàn)了一組藍(lán)牙漏洞(BleedingTooth),該漏洞可能允許攻擊者進(jìn)行零點(diǎn)擊攻擊,運(yùn)行任意代碼或訪問敏感信息。
        的頭像 發(fā)表于 10-16 14:22 ?3611次閱讀

        攻擊者角度淺談系統(tǒng)安全

        攻擊者主要的目標(biāo)圍繞著破壞系統(tǒng)安全性問題,通過深入了解系統(tǒng)安全的攻擊者,從攻擊者的視角上來考慮設(shè)計(jì)系統(tǒng)安全性,這樣能夠更好了解如何對系統(tǒng)采取主動(dòng)和被動(dòng)的安全措施。
        發(fā)表于 12-21 15:05 ?560次閱讀

        不易被攻擊者識別為跟蹤設(shè)備的設(shè)備

        電子發(fā)燒友網(wǎng)站提供《不易被攻擊者識別為跟蹤設(shè)備的設(shè)備.zip》資料免費(fèi)下載
        發(fā)表于 12-29 11:25 ?0次下載
        不易被<b class='flag-5'>攻擊者</b>識別為跟蹤設(shè)備的設(shè)備

        網(wǎng)絡(luò)攻擊者將物聯(lián)網(wǎng)設(shè)備作為攻擊目標(biāo)的原因

        物聯(lián)網(wǎng)設(shè)備受到網(wǎng)絡(luò)攻擊是因?yàn)樗鼈兒苋菀壮蔀槟繕?biāo),在正常運(yùn)行時(shí)間對生存至關(guān)重要的行業(yè)中,它們可以迅速導(dǎo)致大量的勒索軟件攻擊。制造業(yè)受到的打擊尤其嚴(yán)重,因?yàn)榫W(wǎng)絡(luò)攻擊者知道任何一家工廠都無法承受長期停工的后果,因此他們索要的贖金是其他
        發(fā)表于 06-14 14:46 ?556次閱讀

        【虹科技術(shù)分享】ntopng是如何進(jìn)行攻擊者和受害檢測

        在最新的ntopng版本中,為了幫助理解網(wǎng)絡(luò)和安全問題,警報(bào)已經(jīng)大大豐富了元數(shù)據(jù)。在這篇文章中,我們重點(diǎn)討論用于豐富流量警報(bào)和標(biāo)記主機(jī)的"攻擊者"和"受害"
        的頭像 發(fā)表于 04-24 17:12 ?853次閱讀
        【虹科技術(shù)分享】ntopng是如何進(jìn)行<b class='flag-5'>攻擊者</b>和受害<b class='flag-5'>者</b>檢測