banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

hackthebox SherlocksのUnit42サンドボックスの記録

#htb#sherlocks107
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
Sherlocks靶场是一个防御性靶场,事件响应者需要从日志文件中查找线索并提交flag。任务包括查找特定事件ID的记录,分析新进程信息,确定恶意程序入侵路径和目的地IP地址,以及查找恶意文件的位置和时间戳。最终,恶意程序在植入后门功能后自行结束运行。

分類:DFIR
Sherlocks 靶場は防御的な靶場であり、ログファイルから証拠を見つけてフラグを提出するというイベントレスポンスの役割を果たします。

image

添付ファイルのダウンロード

image

解凍すると、evtx ログファイルが得られます。

ここで使用されているのは evtx_dump ツールで、使用方法は以前のWindows XML イベントログ(EVTX)の解析を参照してください。

EVTX は Windows イベントログファイルの形式であり、Event Log File の略です。これは Windows Vista 以降で使用されるようになったログファイル形式であり、以前の EVT 形式を置き換えました。EVTX ファイルにはシステム、アプリケーション、セキュリティ、その他のイベントログ情報が保存されており、システム管理者やユーザーがトラブルシューティングや監査を目的として使用されます。

タスク 1 イベントログには、イベント ID が 11 のレコードがいくつありますか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx | grep "EventID" | grep "11" | wc -l

56

image

タスク 2 コンピュータのメモリに新しいプロセスが生成されるたびに、イベント ID が 1 のレコードが生成されます。これにはコマンドライン、ファイルハッシュ、プロセスパス、親プロセスパスなどの詳細情報が含まれています。これらの情報はアナリストにとって非常に貴重であり、システム上で実行されているすべてのプログラムを把握するのに役立ち、悪意のあるプログラムを特定するのに役立ちます。では、具体的にどの悪意のあるプログラムが被害者のシステムに侵入したのでしょうか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=1' | grep "Image"

C:\\Users\\CyberJunkie\\Downloads\\Preventivo24.02.14.exe.exe

image

タスク 3 悪意のあるソフトウェアの配布に使用されたクラウドドライブはどれですか?

EventID 22 は、システムが発行した DNS クエリを検索するために使用できます。

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.EventData.QueryName'

dropbox

タスク 4 初期の悪意のあるファイルは、ディスク上で作成されたファイルのタイムスタンプを変更するという防御回避手段を採用しており、これによりこれらのファイルは古いファイルのように見えます。では、PDF ファイルに設定された新しいタイムスタンプは何ですか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=11' | jq '.Event.EventData'

2024-01-14 08:10:06

image

タスク 5 悪意のあるファイルはディスク上にいくつかのファイルを配置しました。"once.cmd" ファイルの正確な場所はどこですか?ファイル名を含む完全なパスを提供してください。

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.' | grep "once.cmd"

C:\Users\CyberJunkie\AppData\Roaming\Photo and Fax Vn\Photo and vn 1.1.2\install\F97891C\WindowsVolume\Games\once.cmd

タスク 6 この悪意のあるファイルは、偽のウェブサイトにアクセスしようとし、おそらくネットワークの可用性を確認するためのものです。具体的にはどのウェブサイトに接続しようとしているのでしょうか?

ネットワーク接続の EventId は 5 なので、EventID=5 のレコードをフィルタリングできます。

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=5'

image

または、QueryName キーワードでフィルタリングできます。

タスク 7 この悪意のあるプログラムは、どの IP アドレスに接触しようとしていますか?

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.System.EventID=5'

image

93.184.216.34

タスク 8 この悪意のあるプログラムは、バックドア機能を持つ UltraVNC のバージョンを埋め込んだ後、自己終了しました。具体的にはいつ活動を停止しましたか?

vnc に関連するレコードを検索すると、以下のように 3 つのレコードしかありません。

image

evtx_dump Microsoft-Windows-Sysmon-Operational.evtx -o jsonl | jq '.Event.EventData.TargetFilename','.Event.EventData.UtcTime'

2024-02-14 03:41:58

image

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。