MrRobot (Cyberdefenders)
Category: Digital Forensics
Scenario: An employee reported that his machine started to act strangely after receiving a suspicious email for a security update. The incident response team captured a couple of memory dumps from the suspected machines for further inspection. Analyze the dumps and help the IR team figure out what happened!
ໃນການແກ້ໂຈດແມ່ນໃຊ້ Volatility2 ເຊີ່ງຕົວ web ມັນໄດ້ແນະນໍາ Tools ມາຢູ່ແລ້ວເຊັ່ນ:
- Volatility2
- Volatility3
- Rstudio
ໄປໂຫລດ files ໂຈດມາຈາກ Web
ຈະໄດ້ File: c69-Grrcon2015.zip
ລະຫັດ: cyberdefenders.org
ເມື່ອແຕກ files ມາແລ້ວ, file ສໍາຄັນທີ່ເຮົາຈະກວດສອບມີ:
- Target1–1dd8701f.vmss (ໄຟລ໌ນາມສະກຸນ .vmss ແມ່ນໄຟລ໌ VM ທີ່ຖືກ Suspended ມາ)
Q1
Machine:Target1
ທີ່ຢູ່ອີເມວໃດຕົວະໃຫ້ພະໜັກງານຕ້ອນຮັບຕິດຕັ້ງ Security Update?
ກ່ອນອື່ນເລີຍແມ່ນເຮົາຕ້ອງໄດ້ກວດຫາ profile ຂອງ file ທີ່ຄໍາຖາມມັນໃຫ້ມາກ່ອນ! ໂດຍການໃຊ້ຄໍາສັ່ງນີ້:
./volatility -f "Target1–1dd8701f.vmss" imageinfoimageinfo ແມ່ນໃຊ້ເບີ່ງຂໍ້ມູນພາຍໃນໄຟລ໌ເຊັ່ນ: profile suggestions (OS and architecture)
ຈະໄດ້ຜົນລັບປະມານນີ້:
ເມື່ອເຮົາໄດ້ Profile ຂອງລະບົບແລ້ວ, ຕໍ່ໄປທຸກໆຄໍາສັ່ງ ຈະມີ --profile=Win7SP0x86 ຢູ່ນໍາ, ຕໍ່ໄປເຮົາຈະໃຊ້ Plugin filescan (ໃຊ້ຫາຂໍ້ມູນປະຫວັດການໃຊ້ໄຟລ໌). ຄໍາຖາມມັນບອກໃຫ້ຫາທີ່ຢູ່ອີເມວຂອງ hacker. ເຮົາຈຶງໃຊ້ຄໍາສັ່ງ grep ເອົາ “.ost” ຊຶ່ງເປັນໄຟລ໌ຂໍ້ມູນຂອງອີເມວ (Offline Outlook Data File)
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 filescan > target1/target1-filescan.txt
grep -F '.ost' target1/target1-filescan.txtຈະເຫັນວ່າມີໄຟລ໌ .ost ຢູ່!
ຕໍ່ໄປເຮົາຈະດຶງຂໍ້ມູນຂອງໄຟລ໌ .ost ມາອ່ານໂດຍການໃຊ້ dumpfiles .
> 0x000000003ecec2b0, 0x000000003fc61be0 ຄື Offset ຫຼື ທີ່ຢູ່ຂອງໄຟລ໌ໃນ memory.
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 dumpfiles -D target1 -n -u -Q 0x000000003ecec2b0,0x000000003fc61be0
cd target1
mv "file.None.0x84eed400.Frontdesk@allsafecybersec.com - outlook2.ost.dat" Frontdesk.ost
pffexport -m all -f all Frontdesk.ost
grep -r -i update Frontdesk.ost.exportລອງຄົ້ນຫາຄໍາວ່າ update (ຕາມຄໍາຖາມ) ເຮົາກໍ່ຈະໄດ້:
ໃນຮູບເຮົາຈະເຫັນຂໍ້ຄວາມທີ່ hacker ສົ່ງມາ ຕາມດ້ວຍ link website ໃຫ້ຜູ້ຮັບເມວ ເຂົ້າໄປດາວໂຫລດເອົາໄຟລ໌ Malware ແລ້ວຕົວະໃຫ້ຕິດຕັ້ງໂດຍບອກວ່າເປັນ Security Update , ບາດນີ້, ເຮົາມາລອງອ່ານຂໍ້ຄວາມທີ່ຢູ່ໃນໄຟລ໌ກັນເລີຍ!
cat "Frontdesk.ost.export/Root - Mailbox/IPM_SUBTREE/Inbox/Message00001/OutlookHeaders.txt"
ແລ້ວເຮົາກໍ່ຈະໄດ້
ຄໍາຕອບ: th3….3r0s.@g…..com
Q2
Machine:Target1
ຊື່ໄຟລ໌ໃດທີ່ຖືກສົ່ງມາໃນອີເມວ?
ເພື່ອຫາຊື່ຂອງໄຟລ໌, ແມ່ນຍັງໄດ້ອ່ານຂໍ້ມູນຈາກໄຟລ໌ .ost , ຖ້າສັງເກດດີໆແມ່ນຈະເຫັນຊື່ໄຟລ໌ແຕ່ຕອນເຮົາຫາທີ່ຢູ່ອີເມວແລ້ວ!
grep -r -i update Frontdesk.ost.export
OR
cat target1-filescan.txt | grep -i AnyConnectຄໍາຕອບ: AnyCon………er.exe
Q3
Machine:Target1
ຊື່ຂອງ rat’s family ທີ່ attacker ໃຊ້ແມ່ນຫຍັງ?
ໃນຂໍ້ນີ້ແມ່ນໄດ້ຫາຂໍ້ມູນຈາກໄຟລ໌ Malware ທີ່ຖືກຕິດຕັ້ງໄປ (.exe)
cat target1-filescan.txt | grep -i AnyConnect
ຕາມຮູບເຮົາຈະເຫັນໄຟລ໌ AnyConnectInstaller.exe ຢູ່ 6 ໄຟລ໌, ເຮົານໍາມາ dump ຂໍ້ມູນອອກມາທັງໝົດເລີຍ, ຕາມດ້ວຍຄໍາສັ່ງ md5sum
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 dumpfiles -D target1/dumpfiles -n -u -Q 0x000000003df12dd0,0x000000003df1cf00,0x000000003e0bc5e0,0x000000003e2559b0,0x000000003e2ae8e0,0x000000003ed57968
md5sum target1/dumpfiles/*
ຕໍ່ມາແມ່ນນໍາ md5 ໄປຫາຂໍ້ມູນຕໍ່! , ໃນເວັບ virustotal
ຄໍາຕອບ: XT….RAT
Q4
Machine:Target1
ໄວຣັດມັນນໍາໃຊ້ປະໂຫຍດຈາກ process injection. ເລກ PID ຂອງ process injection ແມ່ນຫຍັງ?
ໃນຕອນທີ່ເຮົານໍາ md5 ໄປຫາຂໍ້ມູນຕໍ່ໃນເວັບ virustotal ນັ້ນ, ເຮົາຈະເຫັນ IP ທີ່ມີກາານ Connected ຢູ່.
ນໍາໃຊ້ netscan ເພື່ອຫາເລກ PID ຂອງໄຟລ໌ທີ່ມີການ connection ກັບ service.
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 netscan | grep ESTABLISHEDnetscan Scan a Vista (or later) image for connections and sockets
“ESTABLISHED” is a connection to a service.
“LISTENING” if a port is open, but no connection has been established.
ສັງເກດ ip: 180.76.254.120 ຕາມຜົນທີ່ໄດ້ຈາກ netscan ແລະ ຂໍ້ມູນ Connected IP address ຈາກເວັບ virustotal ເຫັນວ່າມັນຕົງກັນ. ແລະ ຕົວເລກ PID ຂອງ IP ນີ້ແຫລະຄືຄໍາຕອບ: 2996
Q5
Machine:Target1
ຄ່າສະເພາະທີ່ໄວຣັດໃຊ້ເພື່ອຝັງຕົວໄວ້ຫຼັງຈາກການ reboot?
ກວດສອບຄ່າທີ່ attacker ໃຊ້ເພື່ອຝັງ Malware ລົງໃນ OS ໃຫ້ຕົວ Malware ທໍາງານຢູ່ຕະຫຼອດ, ເລີ່ມຫາຂໍ້ມູນຈາກ registry ກຸ່ມ SOFEWARE ກ່ອນເລີຍ, ເພື່ອຫາການຕັ້ງຄ່າທີ່ attacker ເຮັດໄວ້. ນໍາໃຊ້ຄໍາສັ່ງ hivelist (ສະແດງລາຍການຂອງ registry)
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 hivelist 
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 printkey -o 0x8b79d008 -K "Microsoft\Windows\CurrentVersion\Run"ນໍາໃຊ້ printkey ສະແດງຂໍ້ມູນ Run key !
ຄໍາຕອບ: M…b..
Q6
Machine:Target1
ໄວຣັດມັກຈະໃຊ້ຄ່າຫຼືຊື່ສະເພາະ ເພື່ອໃຫ້ແນ່ໃຈວ່າມີພຽງ Files Copy ດຽວ, ທີ່ run ຢູ່ໃນລະບົບ. ຊື່ສະເພາະທີ່ໄວຣັດໃຊ້ແມ່ນຫຍັງ?
ນໍາໃຊ້ຄໍາສັ່ງ handles (ສະແດງລາຍການຂອງ open handles ໃນແຕ່ລະ process) , ເລີ່ມກວດສອບຈາກເລກ PID ທີ່ເຮົາໄດ້ມາ.
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 handles --pid 2996
ຄໍາຕອບ: f……...dat
Q7
Machine:Target1
ປ່າກົດວ່າມີ hacker ຊື່ດັງ,ໄດ້ hack ເຂົ້າມາກ່ອນ hacker ຄົນປະຈຸບັນ. ຊື່ຂອງລາວມາຈາກໜັງ.
ຫາຊື່ user ຈາກ filescan , ຈະມີຫຼາຍໆ Users , ແລະ ມີຊື່User ທີ່ເປັນໄປໄດ້ຢູ່.
cat target1-filescan.txt | grep -o 'Users\\[A-Za-z]*' | sort | uniq
ແລະກໍຈະໄດ້ ຄໍາຕອບ: .a….. ຈາກການ research
Q8
Machine:Target1
ລະຫັດ NTLM hash ຂອງ administrator ແມ່ນຫຍັງ?
ໃຊ້ຄໍາສັ່ງ hashdump (ຄືການສະແດງລະຫັດ (LM/NTLM) ທີ່ຖືກ hash ແລ້ວ ຈາກໜ່ວຍຄວາມຈໍາ)
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 hashdump
ຄໍາຕອບ: 7940……………………….
Q9
Machine:Target1
hacker ໄດ້ຍ້າຍ tools ໂຕໃດໜຶ່ງໄປ host ຂອງພະແນກຕ້ອນຮັບ. ຖາມວ່າ, ມີຈາກtool ທີ່ hacker ຍ້າຍໄປ?
./volatility -f "Target1–1dd8701f.vmss" --profile=Win7SP0x86 console
plugin: console ໃຊ້ຫາ Commands ທີ່ attackers ພີມລົງໃນ cmd ຄ້າຍໆກັບ cmdscan.
ຈະເຫັນວ່າມີ 4 Tools (.exe) ໃນ folder Windows\Temp
getlsasrvaddr.exe is a tool that finds the addresses for Windows Credentials Editor to find credentials in memory.
nbtscan.exe is a NetBios scanning tool.
Rar.exe is WinRAR.
wce.exe is Windows Credentials Editor.
getlsasrvaddr.exe ແລະ wce.exe ແມ່ນ Windows Credentials Editor ຄືກັນ, ສະນັ້ນຄໍາຕອບຈຶ່ງແມ່ນ: 3
Q10
Machine:Target1
ລະຫັດຜ່ານສໍາຫລັບບັນຊີ administrator ຂອງພະແນກຕ້ອນຮັບແມ່ນຫຍັງ?
ຄໍາຕອບ: flag…..@1234
ໃນໂຈດ MrRobot ນີ້ມີຢູ່ 24 ຄໍາຖາມ, ເຊີ່ງໃນບົດຄວມນີ້ແມ່ນໄດ້ຂຽນວິທີແກ້ພຽງແຕ່ 10 ຄໍາຖາມ!! , ທຸກຄົນສາມາດເຂົ້າໄປລອງແກ້ໂຈດໄດ້ໃນ https://cyberdefenders.org/ ຮັບຮອງວ່າເມື່ອຍແນ່ນອນ….ເອີ້ຍ!! ມ່ວນແນ່ນອນ. (ຄໍາຖາມແທ້ແມ່ນພາສາອັງກິດ ແປພາດບ່ອນໃດກາຂໍອະໄພ)
