banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

hackthebox sherlocksのTickTock記録

グラディスは会社の新しい従業員で、IT 部門が彼女のパソコンに対して作業を行う予定であることを通知する電子メールを受け取りました。彼女は IT チームに電話をかけるよう指示され、彼らがリモートアクセスを許可する方法を教えてくれることになっています。しかし、この IT チームは実際には Forela を攻撃しようとしているハッカーのグループです。

image

Task1 C2 プロキシとしてアップロードされる実行ファイルの名前は何ですか?

Microsoft-Windows-Sysmon%4Operational.evtx ログファイルを開きます。

Microsoft-Windows-Sysmon operational.evtxは、Windows Sysmon(システムモニタリング)が生成するイベントログファイルで、システムのさまざまな活動やイベントを記録します。Sysmon は Sysinternals Suite の一部で、Windows のログ機能を強化し、詳細なイベントモニタリングを提供して、セキュリティ分析やインシデントレスポンスを支援します。

Sysmon は以下のタイプのイベントを監視および記録できます:

  1. プロセス作成:新しいプロセスの作成を監視し、コマンドライン引数を含みます。
  2. ネットワーク接続:出入りのネットワーク接続の情報を記録します。
  3. ファイル作成時間:ファイルの作成、変更、削除イベントを記録します。
  4. ドライバの読み込み:システムに読み込まれたドライバを監視します。
  5. ファイルハッシュ:ファイルのハッシュ値を記録し、後の分析に備えます。
  6. レジストリ操作:レジストリの作成、変更、削除操作を監視します。
  7. 生のイベント記録:他の重要なシステムイベントを記録します。

image

または MFT レコードを確認し、デスクトップ上でこのファイルを見ることができます。

image

Task2 初期アクセス時のセッション ID は何ですか?

攻撃者は TeamViewer ソフトウェアを使用してリモートアクセスを行い、teamviewer のログを確認します。

ログパスは以下の通りです:

image

最初の時間に sessionID を見ることができます。

image

Task3 攻撃者が C: ドライブに Bitlocker パスワードを設定しようとした場合、パスワードは何ですか?

Windows PowerShell.evtx ログを確認します。

image

base64 デコードしてパスワードを取得します。

image

Task4 攻撃者が使用した名前は何ですか?

teamviewer のログを確認します。

image

Task5 C2 が接続する IP アドレスはどれですか?

Microsoft-Windows-Sysmon%4Operational.evtx ログファイルを確認します。

image

52.56.142.81

Task6 Windows Defender は C2 バイナリファイルにどのカテゴリを割り当てましたか?

Windows Defender のログを確認します。

image

VirTool/Myrddin.D

Task7 攻撃者が時間を操作するために使用した PowerShell スクリプトのファイル名は何ですか?

Microsoft-Windows-Sysmon%4Operational.evtx ログファイルを確認し、PS1 拡張子でフィルタリングします。

image

時間に関連するスクリプトを見ることができます。

image

または mft ファイルを分析し、デスクトップ上でも PS1 スクリプトを見つけることができます。

image

Invoke-TimeWizard.ps1

Task8 初期アクセス接続はいつ始まりましたか?

image

2023/05/04 11:35:27

Task9 悪意のあるバイナリファイルの SHA1 と SHA2 の合計は何ですか?

Windows Defender ディレクトリ内のログファイルを分析します。

image

sha1 を検索します。

image

Task10 PowerShell スクリプトはマシンの時間を何回変更しましたか?

image

image

2371

Task11 被害者のユーザー SID は何ですか?

security のログを確認すればわかります。

image

S-1-5-21-3720869868-2926106253-3446724670-1003

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。