背景介绍
某月某日,县公安局接某公司财务部门报警,称其官网及财务报销系统疑被入侵,且攻击者在财务报销系统中投放了勒索病毒,现已无法运行,且服务器内的重要文件均被加密。
县公安局网安大队高度重视,立即根据受害人的反馈对该被入侵服务器进行取证,初步确定了作案手法:这是一次来自互联网的网络攻击,攻击者利用多种漏洞获取到服务器的权限,并投放了勒索病毒对服务器进行加密,以勒索该公司。
案情梳理
官网和财务报销系统被入侵
攻击者在财务报销系统投放了勒索病毒
步骤:
1)来自互联网的网络攻击
2)多种漏洞得到服务器权限
3)投放勒索病毒加密
题目
前提
做题的方法肯定有很多种,每次我都是随性子用方法。也欢迎大家探讨。
检材二
通过对检材一的分析,你们已经初步掌握了攻击者的攻击路径和攻击手法。接下来请对检材二(PC.E01)进行分析,并回答以下问题
21、该服务器的计算机名为?(50分)
WIN-CCGJNS8OESV
22、攻击者登陆该服务器的时间为?(100分)(格式:2021-01-01 01:01:01)
2022-03-04 18:15:37
首先明确逻辑:先攻击进入了WEB服务器,然后用web服务器作为跳板来入侵这台PC
那么,如果是登录这台PC,就应该是用的WEB服务器(192.168.100.100)登录
这题目文字也有问题,镜像名字叫PC,但是PC里面的功能包括了一些服务器功能。说登录服务器,那谁知道是登录WEB还是PC
1)在我用弘连的取证分析软件初次筛选登录信息后,看到一条最可能是答案的
2)去远程桌面看看情况
上边两个时间都很可疑,所以仿真起来去事件查看器分析一下
结合登录成功和远程登录成功的日志来看,确定是下午六点多那个
日志工具:[windodws-logs-analysis-master][https://github.com/dogadmin/windodws-logs-analysis]
23、该服务器中存在一款用于管理检材一(WEB.E01)软件,请计算该软件主程序的SHA256哈希值?(100分)(格式:大写)
7043e8fbafa40fa869ea856286b86d7472eb052ab35b81f39cf86c7832408b7e
说的就是finalshell
24、请尝试通过分析该上题中管理软件获取检材一的密码?(150分)
Cse19981228
1)在第22题的时候,仿真看到桌面有一个finalshell工具,找到他的配置文件
因此,解密出来就好了
2)在线解密
或者写一个Java代码解密
还有更简单的方法:弘连软件直接看:
参考:
https://www.jianshu.com/p/f5bfa7b229de
https://blog.1088web.com/tools/getFinalShellPassDecodeView
25、请计算勒索病毒程序的SHA256哈希值?(100分)(格式:大写)
F0D861EBA9ADBBE87F46AAE549506A2D781FF8DC6D94A7158C0B83A5EABC7795
理清思路:攻击者从网站入手,那病毒应该是从网站上传进来的
勒索病毒进入电脑后,会对文件进行加密,后有一个后缀名,这是一个特征点。
顺便回顾一下应急响应的流程:
1)物理隔离、逻辑隔离
2)判断病毒类型
3)看日志溯源,并看看其他主机是否被牵连
4)对电脑进行处理分析,摸清关于病毒的信息
最开始我是翻了日志、进程,发现没什么异样。毕竟内存镜像都没有,应该也不是这么找。
这台PC虽然有一些服务器的功能,但是攻击者的入侵思路是通过WEB服务器远程连接PC,那只能猜测是从web服务器下载的文件。
翻翻找找,发现财务文件夹中,有加密的文件
这种后缀,一般都是病毒加密生成的后缀。
然后又发现浏览器的下载地址,是192.168.100.100
26、该勒索病毒是如何下载财务电脑上的,请分析后提交下载的链接?(250分)(格式:http://xxx.xx/test/)
http://192.168.100.100/public/upload/encrypt_file.exe
27、请分析勒索软件会加密哪些文件后缀名的文件?(200分)(格式:doc,pdf,…,注意顺序)
.txt,.doc,.jpg,.png
这道题,有点麻烦,因为我不会做逆向分析。所以感谢某位逆向佬的帮助。
步骤:
1)使用 pyinstxtractor
解压exe,提取pyc文件。
①安装工具
pyinstxtractor:https://github.com/extremecoders-re/pyinstxtractor
uncompyle6:
解压exe:
解压后会在当前目录生成一个文件夹
2)使用 uncompyle6
反编译pyc文件。
反编译并存入txt文本中:
3)打开以后,遍历一遍就看到了(代码逻辑我也不会,反正找我们需要的东西就行了)
参考:
https://juejin.cn/post/7244809939838566456
28、请分析该勒索软件最终是通过什么算法对数据进行加密的?(200分)(格式特殊:提交前需举手报告)
RSA PKCS1_v1_5 Cipher_pkcs1_v1_5 XOR
而且是异或 XORCBC
29、请尝试解密文件销售额.txt,解密后的销售金额为?(150分)
这题要分析代码逻辑,找到加密算法并写出解密算法。不会,不做。
30、另外,我们在财务电脑中发现木马程序,可能是犯罪嫌疑人所留,请找到木马文件,并请计算木马文件的SHA256哈希值为?(100分)
5239b243da6f998d380d1eebd78e273be77c398e5ebb4997c8351c44407aef30
在财务文件夹中,总共三个文件,将exe放入微步在线沙箱中检测,知道就是木马文件
重要提醒:为防止作弊,31题-39题在提交答案前,参赛人员需主动举手向工作人员展示解题过程后方可提交,否则不得分。工作人员只负责核实解题过程是否真实,不负责答案是否准确。
31、该木马文件以什么方式进行开机自启动?(200分)(格式特殊:提交前需举手报告)
注册表启动项
将该木马文件导入沙盒中分析可知
32、请分析木马行为,列出自动释放的文件名?(200分)(格式:a.word,b.txt,c.xls,按照a小于b进行填写)
[http_request.json、x64.dll
33、请分析木马行为,列出远程注入的模块文件名为?(200分)(格式:1.word)
不懂什么叫模块文件名,所以不做。
34、请分析木马行为,列出被远程注入的进程数量为?(200分)
2
35、请分析木马配置文件“http_request.json”,找出用户ID为?(100分)
zhaohong
第36题图片可见。
36、请分析木马配置文件”http_request.json”,尝试解密“key”字段的明文数据为?(150分)
honglian70011111
37、请分析木马配置文件”http_request.json”,尝试解密“tag_data”字段的明文数据为?(200分)
honglian
根据36题图可以确定:
"tag_data": "21E71DA1217A9BAC15078752D22F33A2",
加密方式: "crypt": "AES_CBC_Zeropadding_128bits",
密钥: "key": "aG9uZ2xpYW43MDAxMTExMQ==",
偏移: "IV": "123456789 "
要注意偏移IV里面有空格,还要注意下图输出的方式
38、请分析木马程序,该木马存在POST上传行为,请找出URL资源请求路径为(相对路径)?(250分)(参考格式:http://127.0.0.1/1.txt)
http://222.2.2.21:80/upload_data
39、请分析木马程序,该木马存在备用跳板服务器,请找出该服务器的IP地址为?(200分)
10.10.10.10
只要是关于逆向的,我都是不太会的。所以最笨的方法就是,IDA反编译以后,把能看到的都看一遍。
其实这里也能看到上一题的加密方式。