信息安全管理与评估赛项内存取证刷题随笔
!!!若需要环境可以私信博主!!!
前言:
故事背景是一个叫Rick瑞克的喜欢玩老式游戏的人,而且这人吧还总喜欢用比特彗星下载盗版电影种子,游戏种子,有一天他边玩游戏边下东西,突然电脑中了勒索病毒,文件被锁了,所有后缀变成了.locked,然后取证分析人员拷贝了内存镜像文件,来看看你能从被锁的文件中获取什么信息?
| 任务编号 | 任务描述 |
| 1 | 你拿到了瑞克电脑内存的样本。你能拿到他的用户密码吗? |
| 2 | 让我们开始简单-什么是PC的名称和IP地址? |
| 3 | 瑞克就是喜欢玩一些很好的老式电子游戏。你知道他在玩什么游戏吗?服务器的IP地址是什么? |
| 4 | 我们知道这个账号登录了一个叫Lunar-3的频道。账户名是什么? |
| 5 | 通过一点研究,我们发现登录字符的用户名总是在这个签名之后:0x640x??{6-8}0x400x060x??{18}0x5a0x0c0x00{2}瑞克的角色叫什么名字? |
| 6 | 傻瑞克总是忘记他的电子邮件的密码,所以他使用存储密码服务在线存储他的密码。他总是复制并粘贴密码,这样他就不会弄错了。Rick的邮箱密码是什么? |
| 7 | 我们之所以把瑞克的电脑内存转储出来是因为有恶意软件感染。请查找恶意软件进程名称(包括扩展名) |
| 8 | 恶意软件是怎么进入瑞克电脑的?这一定是一个古老的非法习惯... |
| 9 | 按照恶意软件入侵的方式继续搜索。 |
| 10 | 我们发现这个恶意软件是勒索软件。找到攻击者的比特币地址。 |
| 11 | 恶意软件的图像里有可疑之处 |
| 12 | 瑞克得把文件找回来!用于加密文件的随机密码是什么? |
目录
3、瑞克就是喜欢玩一些很好的老式电子游戏。你知道他在玩什么游戏吗?服务器的IP地址是什么?
4、我们知道这个账号登录了一个叫Lunar-3的频道。账户名是什么?
5、通过一点研究,我们发现登录字符的用户名总是在这个签名之后:0x640x??{6-8}0x400x060x??{18}0x5a0x0c0x00{2}瑞克的角色叫什么名字?
6、傻瑞克总是忘记他的电子邮件的密码,所以他使用存储密码服务在线存储他的密码。他总是复制并粘贴密码,这样他就不会弄错了。Rick的邮箱密码是什么?
7、我们之所以把瑞克的电脑内存转储出来是因为有恶意软件感染。请查找恶意软件进程名称(包括扩展名)
8、恶意软件是怎么进入瑞克电脑的?这一定是一个古老的非法习惯..
10、我们发现这个恶意软件是勒索软件。找到攻击者的比特币地址。
1、你拿到了瑞克电脑内存的样本。你能拿到他的用户密码吗?
首先查看/识别镜像信息
本题需要我们去得到瑞克账户的密码,使用 hashdump 命令查看账户密码信息
得到一个Rick账户,且密码被进行了hash加密,尝试将密码提取出来,进行john爆破、
爆破了很久但是没有任何结果,说明该密码是个强密码,无法john爆破可以使用 lsadump 来查看
这里可以得到Rick账户的密码为:MortyIsReallyAn0tte
2、让我们开始简单-什么是PC的名称和IP地址?
PC的名称和IP地址可以通过查询注册表来进行查看
首先查看注册表内容
windwos系统一般通过注册表查看PC名称依次打开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName,一个**ComputerName** 的键,对应的值就是当前计算机的名称,这里首先进入SYSTEM查看CurrentControlSet
可以发现存在 ControlSet001、ControSet002,尝试查看ControlSet001,构造路径
ControlSet001\Control\ComputerName\ActiveComputerName
在ControlSet001底下可以发现**ComputerName** 键,对应的值则是PC名称,在ControlSet002下并没有任何回显
3、瑞克就是喜欢玩一些很好的老式电子游戏。你知道他在玩什么游戏吗?服务器的IP地址是什么?
查看进程可以发现几个可疑的进程
Google 搜索了一下发现是一个游戏
既然玩LunarMS与其服务器建立连接,使用 netscan 提取内存镜像中与网络相关的信息
前面的是本地的IP地址,后面的是服务器的IP地址,所以该服务器的IP地址为 77.102.199.102
4、我们知道这个账号登录了一个叫Lunar-3的频道。账户名是什么?
前面使用 pslist 查找到 LunarMS 的进程,可以使用 PID 将目标进程下载下来
如果直接使用 cat 无法得到其中的内容,可以利用 strings 命令对内容进行一个转储,再进行查询
使用 grep 查询关键字 Lunar-3 前后两行的内容
可以得到一个密码为:0tt3r8r33z3
5、通过一点研究,我们发现登录字符的用户名总是在这个签名之后:0x640x??{6-8}0x400x060x??{18}0x5a0x0c0x00{2}瑞克的角色叫什么名字?
这一串十六进制字符,猜测是将源文件进行十六进制编码后会出现对应的编码,从中可以得到关键的点:5a0c 0000,使用 xxd 将源文件转换成十六进制的格式并且查找字符相关的内容
其中可以发现在一段字符后跟着一串正常的字符串,其他都是杂乱的,说明 Rick 的角色叫 M0rtyL0L
6、傻瑞克总是忘记他的电子邮件的密码,所以他使用存储密码服务在线存储他的密码。他总是复制并粘贴密码,这样他就不会弄错了。Rick的邮箱密码是什么?
题目提示 Rick 将密码复制到了剪切板中,可以使用 clipboard 查看内存中剪切板的内容
7、我们之所以把瑞克的电脑内存转储出来是因为有恶意软件感染。请查找恶意软件进程名称(包括扩展名)
查看进程树,可以发现在explorer.exe 后有一个Rick And Morty,这是一部美国的动画片,该后面又有一个可疑的 vmware-tray.exe 文件,在下面还可以发现存在 BitTorrent.exe ,这不就是很熟悉的BT,用种子下片吗不是,经常下片的朋友都知道这可能说明 Rick 在用种子下片的时候,下载了一个恶意文件,这个恶意文件是 vmware-tray.exe
8、恶意软件是怎么进入瑞克电脑的?这一定是一个古老的非法习惯..
.
恶意软件进入电脑的方式无非就是通过U盘或者网页下载,使用 filescan 扫描一下所有和Rick And Morty 相关的文件
这里有六条数据,将数据都使用 dumpfiles 导下来进行查看,最后在一个文件中发现了 Rick 下载的网址
9、按照恶意软件入侵的方式继续搜索。
恶意的软件肯定是通过浏览器下载的,把chrome.exe 的所有进程保存下来
再使用 strings 将所下载下来的进程文件进行转储,在文件中搜索关键字 " Rick And Morty ",最后在一个 BT 种子前面找到了关键信息
10、我们发现这个恶意软件是勒索软件。找到攻击者的比特币地址。
将前面发现的恶意进程文件下载下来
方法一:
该恶意软件是一个勒索病毒,可以通过关键字”ransomware“查找,将文件进行strings转储再查找文本的内容
方法二:
将文件拖入ida中进行查看
11、恶意软件的图像里有可疑之处
使用 foremost 对文件进行分离
分离后可以发现有很多的文件,有几个图片文件夹
在 png 文件夹中发现一个flag
12、瑞克得把文件找回来!用于加密文件的随机密码是什么?
将前面下载的恶意进程文件放入 IDA 中进行查看
要恢复文件,需要知道用于加密的随机密码,这个密码和加密程序应该都在恶意软件 里,继续用ida分析第10题dump出的文件。 注意到这里有加密、创建密码、发送密码、加密文件四个过程
在看sendpassword时,没有发现明文密码,但是注意到这里用到了computerName +"-"userName" " ,也就是WIN-LO6FAF3DTFE-Rick
对该恶意程序进行全局搜索关键字
浙公网安备 33010602011771号