2022TZ GA比武 第二部分 Writeup

背景介绍

​ 某月某日，县公安局接某公司财务部门报警，称其官网及财务报销系统疑被入侵，且攻击者在财务报销系统中投放了勒索病毒，现已无法运行，且服务器内的重要文件均被加密。

​ 县公安局网安大队高度重视，立即根据受害人的反馈对该被入侵服务器进行取证，初步确定了作案手法：这是一次来自互联网的网络攻击，攻击者利用多种漏洞获取到服务器的权限，并投放了勒索病毒对服务器进行加密，以勒索该公司。

案情梳理

官网和财务报销系统被入侵

攻击者在财务报销系统投放了勒索病毒

步骤：

​ 1）来自互联网的网络攻击

​ 2）多种漏洞得到服务器权限

​ 3）投放勒索病毒加密

题目

前提

做题的方法肯定有很多种，每次我都是随性子用方法。也欢迎大家探讨。

检材二

通过对检材一的分析，你们已经初步掌握了攻击者的攻击路径和攻击手法。接下来请对检材二（PC.E01）进行分析，并回答以下问题

21、该服务器的计算机名为？（50分）

WIN-CCGJNS8OESV

22、攻击者登陆该服务器的时间为？（100分）（格式：2021-01-01 01:01:01）

2022-03-04 18:15:37

首先明确逻辑：先攻击进入了WEB服务器，然后用web服务器作为跳板来入侵这台PC

那么，如果是登录这台PC，就应该是用的WEB服务器（192.168.100.100）登录

这题目文字也有问题，镜像名字叫PC，但是PC里面的功能包括了一些服务器功能。说登录服务器，那谁知道是登录WEB还是PC

1）在我用弘连的取证分析软件初次筛选登录信息后，看到一条最可能是答案的

2）去远程桌面看看情况

上边两个时间都很可疑，所以仿真起来去事件查看器分析一下

结合登录成功和远程登录成功的日志来看，确定是下午六点多那个

日志工具：[windodws-logs-analysis-master][https://github.com/dogadmin/windodws-logs-analysis]

23、该服务器中存在一款用于管理检材一（WEB.E01）软件，请计算该软件主程序的SHA256哈希值？（100分）（格式：大写）

7043e8fbafa40fa869ea856286b86d7472eb052ab35b81f39cf86c7832408b7e

说的就是finalshell

24、请尝试通过分析该上题中管理软件获取检材一的密码？（150分）

Cse19981228

1）在第22题的时候，仿真看到桌面有一个finalshell工具，找到他的配置文件

因此，解密出来就好了

2）在线解密

或者写一个Java代码解密

还有更简单的方法：弘连软件直接看：

参考：

https://www.jianshu.com/p/f5bfa7b229de

https://blog.1088web.com/tools/getFinalShellPassDecodeView

25、请计算勒索病毒程序的SHA256哈希值？（100分）（格式：大写）

F0D861EBA9ADBBE87F46AAE549506A2D781FF8DC6D94A7158C0B83A5EABC7795

理清思路：攻击者从网站入手，那病毒应该是从网站上传进来的

勒索病毒进入电脑后，会对文件进行加密，后有一个后缀名，这是一个特征点。

顺便回顾一下应急响应的流程：

1）物理隔离、逻辑隔离

2）判断病毒类型

3）看日志溯源，并看看其他主机是否被牵连

4）对电脑进行处理分析，摸清关于病毒的信息

最开始我是翻了日志、进程，发现没什么异样。毕竟内存镜像都没有，应该也不是这么找。

这台PC虽然有一些服务器的功能，但是攻击者的入侵思路是通过WEB服务器远程连接PC，那只能猜测是从web服务器下载的文件。

翻翻找找，发现财务文件夹中，有加密的文件

这种后缀，一般都是病毒加密生成的后缀。

然后又发现浏览器的下载地址，是192.168.100.100

26、该勒索病毒是如何下载财务电脑上的，请分析后提交下载的链接？（250分）（格式：http://xxx.xx/test/）

http://192.168.100.100/public/upload/encrypt_file.exe

27、请分析勒索软件会加密哪些文件后缀名的文件？（200分）（格式:doc,pdf,…，注意顺序）

.txt，.doc，.jpg，.png

这道题，有点麻烦，因为我不会做逆向分析。所以感谢某位逆向佬的帮助。

步骤：

1）使用 pyinstxtractor 解压exe，提取pyc文件。

①安装工具

pyinstxtractor：https://github.com/extremecoders-re/pyinstxtractor

uncompyle6：

解压exe：

解压后会在当前目录生成一个文件夹

2）使用 uncompyle6 反编译pyc文件。

反编译并存入txt文本中：

3）打开以后，遍历一遍就看到了（代码逻辑我也不会，反正找我们需要的东西就行了）

参考：

https://juejin.cn/post/7244809939838566456

28、请分析该勒索软件最终是通过什么算法对数据进行加密的？（200分）(格式特殊：提交前需举手报告)

RSA PKCS1_v1_5 Cipher_pkcs1_v1_5 XOR

而且是异或 XORCBC

29、请尝试解密文件销售额.txt，解密后的销售金额为？（150分）

这题要分析代码逻辑，找到加密算法并写出解密算法。不会，不做。

30、另外，我们在财务电脑中发现木马程序，可能是犯罪嫌疑人所留，请找到木马文件，并请计算木马文件的SHA256哈希值为？（100分）

5239b243da6f998d380d1eebd78e273be77c398e5ebb4997c8351c44407aef30

在财务文件夹中，总共三个文件，将exe放入微步在线沙箱中检测，知道就是木马文件

重要提醒:为防止作弊，31题-39题在提交答案前，参赛人员需主动举手向工作人员展示解题过程后方可提交，否则不得分。工作人员只负责核实解题过程是否真实，不负责答案是否准确。

31、该木马文件以什么方式进行开机自启动？（200分）（格式特殊：提交前需举手报告）

注册表启动项

将该木马文件导入沙盒中分析可知

32、请分析木马行为，列出自动释放的文件名？（200分）(格式：a.word,b.txt,c.xls，按照a小于b进行填写)

[http_request.json、x64.dll

33、请分析木马行为，列出远程注入的模块文件名为？（200分）(格式：1.word)

不懂什么叫模块文件名，所以不做。

34、请分析木马行为，列出被远程注入的进程数量为？（200分）

2

35、请分析木马配置文件“http_request.json”，找出用户ID为？（100分） zhaohong

第36题图片可见。

36、请分析木马配置文件”http_request.json”，尝试解密“key”字段的明文数据为？（150分）

honglian70011111

37、请分析木马配置文件”http_request.json”，尝试解密“tag_data”字段的明文数据为？（200分）

honglian

根据36题图可以确定：

​				"tag_data": "21E71DA1217A9BAC15078752D22F33A2",
加密方式：			"crypt": "AES_CBC_Zeropadding_128bits",
密钥：				"key": "aG9uZ2xpYW43MDAxMTExMQ==",
偏移：				"IV": "123456789       "

要注意偏移IV里面有空格，还要注意下图输出的方式

38、请分析木马程序，该木马存在POST上传行为，请找出URL资源请求路径为(相对路径)？（250分）(参考格式：http://127.0.0.1/1.txt)

http://222.2.2.21:80/upload_data

39、请分析木马程序，该木马存在备用跳板服务器，请找出该服务器的IP地址为？（200分）

10.10.10.10

只要是关于逆向的，我都是不太会的。所以最笨的方法就是，IDA反编译以后，把能看到的都看一遍。

其实这里也能看到上一题的加密方式。