banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

hackthebox sherlocks之TickTock记录

Gladys 是公司的一位新员工,她收到了一封电子邮件,通知她 IT 部门即将对她的个人电脑进行一些工作,她被引导打电话给 IT 团队,他们会告诉她如何允许他们远程访问。然而,这个 IT 团队实际上是一群试图攻击 Forela 的黑客。

image

Task1 上传为 C2 代理的可执行文件叫什么名字?

打开 Microsoft-Windows-Sysmon%4Operational.evtx 日志文件

Microsoft-Windows-Sysmon operational.evtx是 Windows Sysmon(系统监控)生成的事件日志文件,记录了系统的各种活动和事件。Sysmon 是 Sysinternals Suite 中的一部分,用于增强 Windows 的日志能力,提供详细的事件监控,以帮助安全分析和事件响应。

Sysmon 可以监控和记录以下类型的事件:

  1. 进程创建:监控新进程的创建,包括命令行参数。
  2. 网络连接:记录出站和入站网络连接的信息。
  3. 文件创建时间:记录文件的创建、修改和删除事件。
  4. 驱动程序加载:监控系统中加载的驱动程序。
  5. 文件哈希:记录文件的哈希值,以便后续分析。
  6. 注册表操作:监控注册表的创建、修改和删除操作。
  7. 原始事件记录:记录其他重要的系统事件。

image

或者查看 MFT 记录,在桌面上就可以看到这个文件

image

Task2 初始访问时的会话 ID 是什么?

攻击者是通过 TeamViewer 软件进行远程访问,查看 teamviewer 的日志

日志路径如下:

image

在最开始的时间可以看到 sessionID

image

Task3 攻击者试图在 C: 驱动器上设置 Bitlocker 密码,密码是什么?

查看 Windows PowerShell.evtx 日志

image

base64 解码得到密码

image

Task4 攻击者使用的名称是什么?

查看 teamviewer 的日志

image

Task5 C2 连接回哪个 IP 地址?

查看 Microsoft-Windows-Sysmon%4Operational.evtx 日志文件

image

52.56.142.81

Task6 Windows Defender 为 C2 二进制文件分配了什么类别?

查看 Windows Defender 的日志

image

VirTool/Myrddin.D

Task7 攻击者用来操纵时间的 PowerShell 脚本的文件名是什么?

查看 Microsoft-Windows-Sysmon%4Operational.evtx 日志文件,过滤 PS1 后缀

image

可以看到与时间有关的脚本

image

或者分析 mft 文件,在桌面上也可以发现 PS1 脚本

image

Invoke-TimeWizard.ps1

Task8 初始访问连接是什么时候开始的?

image

2023/05/04 11:35:27

Task9 恶意二进制文件的 SHA1 和 SHA2 总和是多少?

分析 Windows Defener 目录下的日志 文件

image

搜索 sha1

image

Task10 powershell 脚本更改了机器上的时间多少次?

image

image

2371

Task11 受害用户的 SID 是什么?

查看 security 的日志即可知道

image

S-1-5-21-3720869868-2926106253-3446724670-1003

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。