非法侵入或破坏计算机系统案件侦查与取证 实验

虚拟案件:李小林是一个大学生,在一次偶然的机遇下收到了一封来自hr的邮件,文件内容是有关于修改后台学习成绩的exe文件获取,他收到邮件后加上对方,对方二话不说就发了一个2.exe文件,然后说因为这个是作弊软件所以需要关闭所有的病毒检测设备以及防火墙,在好奇心的驱使下,他点开了这个文件,发现没有什么用处之后就没有管了,对方也将他删除。几天后他的爸爸收到一封来自李小林的邮件,内容是往一个卡里转钱,最后爸爸在心疼儿子的驱使下,被骗20w。现在有李小林的电脑一部,可以进行仿真探索。



攻击过程

在攻击端

首先使用msf生成一个木马文件

然后使用 metasploit 控制主机

可以尝试使用swaks钓鱼邮件发送给主机

这里通过社会工程的方式诱骗受害者添加qq

然后让受害者无视所有风险 把这个exe运行

假设这个时候我们的受害主机点开了我们的木马exe

假设这个时候我们的受害机已经点击了我们的木马程序 并且受害机的防火墙已经关闭 而且病毒检测应用已经关闭

攻击机已经将获得获得权限

进入之后可以看到一些基础内容 比如 抓进程 等 相当与已经拿到了meterpreter的权限

进阶使用meterpreter的命令查看是否为虚拟机然后 可以查看最近下载的文件

换shell 然后加入后门

查看自己现在的权限

发现是一个标准用户

查看systeminfo 发现没有MS16-032漏洞

然后我们尝试使用漏洞 发现无法使用

使用local_exploit_suggester文件找到可以攻击的模块

发现可以攻击的模块

然后依次执行发现上面的内容都无法执行

发现是因为没有设置target造成的 现在我们尝试getsystem提升权限

提权成功

提权之后我们在靶机上设置一个隐藏用户

但是这个时候应该在主机上还是可以看到这个用户的

我们继续入侵虽然留了一个小线索但是也不至于被抓住

至此我们完成了第一个留后门的方法

然后通过上传文件 将rdp服务打开

尝试打开连接主机rdp服务

Kali无法打开 用windows finnalshell打开

成功登录电脑

接下来我们已经掌控了一台主机 可以做任何自己想要做的事情

看看原来主机上有啥东西

发现没有啥东西

先下个探索的软件找找个人账号密码啥的 可以盗个号或者做点什么嘛

还可以用webbrowserpassview来查看主机存储的密码

还可以使用开机自启动让这个木马程序开机自启动

放在这个目录下面就可以了

然后还可以通过刚刚搜索到的账号和密码登录邮箱给亲人发邮件

直接一个大功告成 完活儿 就等待对方转钱就ok

寻找攻击者过程



登录发现增加了一个新的用户 叫做hacker$ 怀疑电脑被入侵了

使用取证工具 Autoruns 发现一个异常自动开启软件 2.exe

怀疑是入侵者使用的木马软件

使用微步云沙箱 探测一下这个exe文件

发现是一个木马文件

通过分析可以看到木马文件连接的网络的ip以及端口

进一步我们可以通过搜索ip来定位嫌疑人的位置

  

然后还可以通过邮件分析一下

在收件端

看到了我们这个收件

因为是钓鱼文件

查看一下真正的发送人

发现对方是用kali的swaks软件给受害者发送的邮件

从您提供的邮件头部信息中,我们可以获取到更多关于邮件发送和接收的细节:

发送方信息:

From: hr@ppsuc 表明邮件声称来自hr@ppsuc这个邮箱地址。但要注意,此信息可以被伪造。

X-Mailer: swaks v20201014.0 jetmore.org/john/code/swaks/ 指示邮件可能是使用swaks(Swiss Army Knife for SMTP)这个工具发送的,这通常意味着可能是测试邮件或是通过脚本自动发送的邮件。

接收方信息:

To: 181******55@163.com 显示邮件是发送给163邮箱的这个地址。

传输路径和时间:

Received: from kali (unknown [111.203.106.139]) 提供了关键信息,指出邮件是由IP地址为111.203.106.139的主机发送的,并且该主机自我标识为kali。这里的unknown表示发件人DNS反向解析未成功,可能是因为DNS记录未正确配置或出于隐私保护目的被隐藏。

by gzga-mx-mta-g4-7 (Coremail) with SMTP id _____wD3v5QS9EVmxCTiBg--.52779S2; Thu, 16 May 2024 19:54:59 +0800 (CST) 表明邮件通过一个使用Coremail系统的邮件服务器(gzga-mx-mta-g4-7)进行中转处理,且给出了处理时间。

其他:

Message-Id, X-CM-TRANSID, Authentication-Results, 和 X-Coremail-Antispam 等字段提供了邮件跟踪、安全性检查及邮件系统内部处理的信息。

综上所述,虽然邮件内容提及"下载这个你将永远不会后悔"显得有些可疑,但从技术角度分析,该邮件似乎是从IP地址111.203.106.139发出,自称是kali主机,但实际上该IP地址和kali这个名字并不直接揭示发送者的具体身份或位置,除非进一步通过IP地址查询或与网络服务提供商联系来尝试追溯。

既然这里无法溯源 那我们就查一下这个qq号的个人信息

这里采用社工库的方式 在社工库里面搜索一下这个人是不是可能是嫌疑人

基本可以确定一下嫌疑人的部分个人信息

这里就不展示利用社工库的过程了

接下来分析一下嫌疑人的恶意行为

使用集成的行为探测工具

Nirsoft

可以查看本地恶意木马在本地运行的进程

使用里面的lastactivityview 可以看到入侵过程中发生的事件

然后我们筛选一下时间就能看到

发现这里出现多次运行cmd 和chcp行为

猜测这个时候入侵的 而且在不断提权 net.exe 猜测是在增加后门用户

使用两次应该是将这个这个用户添加到管理员里面达到提权的效果

发现运行过webcookiessniffer 这个是在寻找存在主机中的账号和密码

猜测在这个时候套取了账号和密码

发现各种密码 套取的过程

这个过程中我们发现多次登录浏览器的过程 已经锁定了作案时间

现在我们只要找到浏览器记录就可以了

找到了浏览器的日志 应该是5.16日进行的攻击行为

以管理员身份运行

然后选择我们的hacker用户

找到了所有的痕迹

至此我们可以回溯整个时间线  攻击者首先通过社会工程的方式让受害者下载木马程序 然后点击之后 被受害者黑进主机 然后被提权 然后被添加了一个hacker用户 然后被搜索到了存储在计算机里面的邮箱密码 然后被攻击者登录邮箱给受害者的家人发送了诈骗邮件 通过比对发送邮件的时间以及登录网站的时间 可以发现是攻击者的windows账户发送的诈骗邮件

  • 20
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值