溯源取证-内存取证 高难度篇

今天的场景依然是windows场景,只不过此次场景分为两个镜像,本次学习主要学习如何晒别钓鱼邮件、如何提取钓鱼邮件、如何修复损坏的恶意文件、如何提取DLL动态链接库文件

本次需要使用的工具:
volatility_2.6_lin64_standalone
readpst
clamscan
olevba

本次实验使用的映像文件:
win7ecorpoffice2010-36b02ed3.vmem
ecorpwin7-e73257c4.vmem

Q1

File->ecorpoffice
What is the PID the malicious file is running under?
恶意文件运行的PID是什么?
老规矩,先看一下当前映像的系统信息

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem imageinfo 

在这里插入图片描述
这里使用两种方式获取进程列表

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 pslist

在这里插入图片描述
或者

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 psscan

在这里插入图片描述
在 Volatility 2.6 版本中,psscan 指令和 pslist 指令都是用于扫描系统中的 PID(进程标识符) 的指令。但是,它们有一些重要的区别。
1.psscan 指令会一次性扫描系统中的所有 PID,而 pslist 指令只会列出当前正在运行的进程列表。
2.psscan 指令使用默认参数时,会列出所有检测到的进程及其相关信息,包括进程名称、PID、进程所有者、进程类型等。而 pslist 指令则只显示当前正在运行的进程列表。
3.psscan 指令支持使用多个参数,例如 -U 用于指定进程所有者,-o 用于指定输出格式等。而 pslist 指令不支持使用多个参数。
4.psscan 指令的安全性更高,因为它不会直接访问系统资源,而是通过 Volatility 提供的 API 进行进程扫描。这意味着 psscan 指令更加安全,并且不会泄漏敏感信息。

使用getsids命令统计 PID 为 1364 的进程或进程组

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 getsids -p 1364  

在这里插入图片描述
这里其实也可以执行cmdline命令,查看一下该进程,该进程其实是在temp目录下走的,很多病毒也都是在temp目录下走的
在这里插入图片描述

Q2

File->ecorpoffice
What is the C2 server IP address?
C2服务器的IP地址是什么?

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 netscan

在这里插入图片描述

Q3

File->ecorpoffice
What is the Teamviewer version abused by the malicious file?
被恶意文件滥用的Teamviewer版本是什么?

strings win7ecorpoffice2010-36b02ed3.vmem| grep -F "54.174.131.235"

strings 命令用于在内存中查找字符串,而 grep 命令用于在文件中查找指定的字符串。在这里,grep 命令的参数 -F 表示使用正则表达式进行查找,并且指定要查找的字符串是在内存中的行中包含的。 -F加不加都行

Q4

File->ecorpoffice
What password did the malicious file use to enable remote access to the system?
恶意文件使用了什么密码来启用对系统的远程访问

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 editbox

在这里插入图片描述
“editbox” 是该配置文件中与 “Win7SP1x64” 相关的编辑框数据的名称。

Q5

File->ecorpoffice
What was the sender’s email address that delivered the phishing email?
发送钓鱼电子邮件的发件人的电子邮件地址是什么

我们将找到扩展名为*.eml或*.pst的文件(Outlook和Microsoft Exchange文件具有这样的扩展名,它们可以包含信件本身和文件夹,联系人,地址,附件等)。

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 filescan | grep pst$

这段命令是使用 Volatility 工具来读取一个名为 “c74-Team Spy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem” 的虚拟内存文件,并将其中与 “Win7SP1x64” 相关的文件扫描数据输出到标准输出 (stdout) 上,并通过 grep 命令筛选输出结果,只保留以 “pst$” 开头的行。
在这里插入图片描述
或者

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 filescan | grep -F ".pst"

在这里插入图片描述
eml并没有搜索结果,所以结果就是以pst为准
在这里插入图片描述
接下来是将这些文件转储出来,以便于我们取证
首先创建一个名为pst的文件夹
mkdir pst
在这里插入图片描述

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 dumpfiles -n -u -r pst$ -D pst

该命令将 pst相关的文件转储在 pst目录下
dumpfiles:提取内存映射和缓存的文件,包括-n(不覆盖已有的 dump 文件)、-u(只创建新的 dump 文件,不覆盖已有的 dump 文件) 和-r(指定 dump 文件的根目录)。
-D:指定要存储 dump 文件的路径和文件名,是 --dump-dir的简写
在这里插入图片描述
此时使用readpst工具进行读取,该工具需要手动安装

sudo apt-get update

在这里插入图片描述

sudo apt-get install pst-utils  

在这里插入图片描述
为什么说要使用readpst 工具呢,因为我们转储的文件是不便于我们阅读的,我们需要把他们转换成我们可以直接打开的文件格式,大家可以理解为“解压缩”
在这里插入图片描述

我们重点关注一下file.2692.0xfffffa80042dcf10.phillip.price@e-corp.biz.pst.dat数据

readpst -S file.2692.0xfffffa80042dcf10.phillip.price@e-corp.biz.pst.dat

在这里插入图片描述
此处已经成功将邮件解开,我们回到存放目录,发现已经可以阅读了
在这里插入图片描述
而后我们查看最后一个包的文件内容,因为这个带附件了
在这里插入图片描述

其实这里的题我是没答出来的,偷看了一下国外大佬的过程,也是看的云里雾里的,其实在这里是一封钓鱼邮件,按理说这个邮件里应该会显示出邮件的名称,但是我这里却没有
在这里插入图片描述
这里的意思,其实就是尊敬的xxx,这是您的发票 xxx银行
网上大佬的教程里,是有发票的名字的
在这里插入图片描述
但是解出来的文件,确实有个恶意钓鱼文件
在这里插入图片描述
我们去解开另外一个pst文件
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
几乎是如出一辙,至于为什么主要关注phillip.price用户,请回看Q1,C2木马运行的用户就是该用户

Q6

File->ecorpoffice
What is the MD5 hash of the malicious document?
恶意文档的MD5哈希是什么?

md5sum 13-bank_statement_088452.doc

在这里插入图片描述
c2dbf24a0dc7276a71dd0824647535c9
在这里插入图片描述

Q7

File->ecorpoffice
What is the bitcoin wallet address that ransomware was demanded?
勒索软件被要求提供的比特币钱包地址是什么
这里可以使用检索的方式,也可以翻垃圾桶哈

grep -r -i bitcoin pst

该命令直接在解出来的邮件里全局所有bitcoin 关键字
在这里插入图片描述
可以看出来,人家威胁你,要不不给我5比特币,我就天天攻击你

Q8

File->ecorpoffice
What is the ID given to the system by the malicious file for remote access?
恶意文件为系统提供的用于远程访问的ID是什么?

strings win7ecorpoffice2010-36b02ed3.vmem| grep "54.174.131.235"

与Q3问题一个玩法
在这里插入图片描述
如果观察细致的朋友,可能在上面看到过这个数字

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 editbox

在这里插入图片描述
好吧,在这里引用一下,其实也可以将以上的 部分流量包导出来

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem --profile=Win7SP1x64 memdump -p 1364 -D ./

上述命令其实是使用memdump命令捕获 pid 为 1364的内存状态,生成一个名为1364.dmp的文件,同时将生成的1364.dmp文件保存在当前目录下,以便于后续的分析
在这里插入图片描述

strings -el 1364.dmp | grep -A10 -B10 "54.174.131.235"

这条命令的作用是查找指定文件中包含字符串 “54.174.131.235” 的位置,并输出所有匹配的行。其中,string -el 1364.dmp 的作用是指定要查找的文件,grep -A10 -B10 “54.174.131.235” 的作用是指定要查找的字符串和显示匹配行的位置。
在这里插入图片描述
在这里插入图片描述

Q9

File->ecorpoffice
What is the IPv4 address the actor last connected to the system with the remote access tool?
参与者最后一次使用远程访问工具连接到系统的IPv4地址是什么?

strings 1364.dmp| grep -B10 -A10 -E "([0-9]{1,3}[\.]){3}[0-9]{1,3}" | grep "team" -B10 -A10  

可以把 B10 A10 给大点
在这里插入图片描述
验证一下

strings -el 1364.dmp | grep -F '31.6.13.155' -B 10 -A 10

在这里插入图片描述

Q10

File->ecorpoffice
What Public Function in the word document returns the full command string that is eventually run on the system?
word文档中的哪个公共函数返回最终在系统上运行的完整命令字符串?

先安装个工具,用于分析Microsoft OLE2文件(也称为结构化存储,复合文件二进制格式或复合文档文件格式)例如Microsoft Office文档或Outlook消息,主要用于恶意软件分析,取证和调试。它基于olefile解析器

sudo pip3 install -U oletools

在这里插入图片描述
这里需要回过头去分析Q6拿到的恶意文件
13-bank_statement_088452.doc

 olevba -c 13-bank_statement_088452.doc 

在这里插入图片描述
我虽然上学的时候学过VB,但是早就忘光了,这里我确实没本事解密,但是此处执行的其实是一条powershell加密过的命令

Q11

File->ecorpwin7
What is the MD5 hash of the malicious document?
恶意文档的MD5哈希是什么? 从此题开始进入到下一个映像

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem imageinfo

在这里插入图片描述

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 filescan | grep pst$

在这里插入图片描述
创建新的存放路径
在这里插入图片描述
导出

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 dumpfiles -n -u -r pst$ -D pst2

在这里插入图片描述

readpst -S file.2496.0xfffffa80034e9850.Outlscott.knowles@e-corp.biz-00000004.pst.dat 

解压邮件文件
在这里插入图片描述
在这里插入图片描述
但是导出来的时候,该RTF文件损坏了,我是看不出来的

xxd 10-Important_ECORP_Lawsuit_Washington_Leak.rtf

在这里插入图片描述
全是GGG

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 filescan | grep rtf$ 

我们去重新筛选一下该文件,通过获取内存地址的方式进行导出,这样就不会损坏文件了
在这里插入图片描述

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d6b3850 -u -n -D pst2

在这里插入图片描述
其实就是加了一个-Q,用来指定文件的内存地址
在这里插入图片描述
这个时候依然不能直接用,文件末尾很多0
在这里插入图片描述
这段命令行的作用是将文件 xxxLeak.rtf.dat 中的特定字节删除,并将文件中的特定字符串替换为另一个字符串,最后将修改后的二进制文件写入新文件 xxxLeak.rtf。

xxd -p file.None.0xfffffa80040b3260.Important_ECORP_Lawsuit_Washington_Leak.rtf.dat | sed '/000000000000000000000000000000000000000000000000000000000000/d' | sed '/0000000000000000000000000000000000000000000000000000/d' | sed 's/6131376136616631303365316533616437657d7d7d7d0000000000000000/6131376136616631303365316533616437657d7d7d7d/g' | xxd -r -p > Important_ECORP_Lawsuit_Washington_Leak.rtf 

或者
使用 Sed 命令将文件中的任意空字符 (0x0) 替换为空字符串 (即删除所有空字符)。

sed 's/\x0//g' file.None.0xfffffa80040b3260.Important_ECORP_Lawsuit_Washington_Leak.rtf.dat > Important_ECORP_Lawsuit_Washington_Leak.rtf

在这里插入图片描述
计算MD5
在这里插入图片描述

md5sum Important_ECORP_Lawsuit_Washington_Leak.rtf

在这里插入图片描述
在这里插入图片描述
使用clamscan工具扫一下,也是告诉我们,别人利用的是CVE_2010_3333-5 Microsoft RTF栈溢出漏洞
在这里插入图片描述

Q12

File->ecorpwin7
What is the common name of the malicious file that gets loaded?"
被加载的恶意文件的通用名称是什么?
首先我们看一下网络连接状态

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 netscan

在这里插入图片描述
这个其实就挺可疑的

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 pstree | grep 288

我们查看一下该进程的进程树
在这里插入图片描述

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 cmdline | grep "rundll" -A 10 -B 10

在这里插入图片描述
转储 test.dll

mkdir dll

在这里插入图片描述

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 dumpfiles -n -i -r test.dll -D dll 

在这里插入图片描述
在这里插入图片描述
使用clamscan 进行扫描
Clamscan 是一个免费的开源杀毒软件,它使用 clamav 软件包来检测文件是否包含恶意软件。Clamscan 最初是由加州大学伯克利分校开发的,并在其 BSD 授权条款下免费提供。它支持多种文件格式和平台,并且可以在多个平台上运行。Clamscan 可以用于扫描本地计算机或远程服务器上的文件,并且可以自动检测和清除恶意软件。

clamscan -r .      

在这里插入图片描述

md5sum file.288.0xfffffa8003791f10.test.DLL.dat  

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
Malpedia 是一个在线的恶意软件数据库,提供有关各种恶意软件、病毒、黑客攻击和网络犯罪的信息。Malpedia 官网是
链接: https://malpedia.caad.fkie.fraunhofer.de/library 。在该网站上,您可以找到有关各种恶意软件和攻击的详细信息,包括它们的特征、传播方式、攻击目标、预防和应对措施等。Malpedia 是由 OpenDNS 和安全公司 ESET 共同开发的,旨在为网络安全专业人士和普通人提供有关恶意软件的详细信息。
在这里插入图片描述

Q13

File->ecorpwin7
What password does the attacker use to stage the compressed file for exfil?
攻击者使用什么密码来暂存压缩文件以进行exfil?

 ./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 memdump -p 288 -D ./  

继续上一题,我们把svchost 进程的内存镜像导出来
在这里插入图片描述
在这里插入图片描述
一发定魂

strings -el 288.dmp| grep "password" -A10 -B10

在这里插入图片描述
但是东西总是少一节,我们再次精确一下

strings -el  ecorpwin7-e73257c4.vmem| egrep -A5 -B5 "password1234"

egrep是筛选 password1234的字符串,而不是当做正则来筛选
在这里插入图片描述

strings -el  ecorpwin7-e73257c4.vmem| egrep "reports.rar"

我们发现 reports.rar用过之后就被删除了
在这里插入图片描述

Q14

File->ecorpwin7
What is the IP address of the c2 server for the malicious file?
恶意文件的c2服务器的IP地址是什么?

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 netscan

回归到Q12问题,我们的所有推断都是没问题的,所以C2地址应该就是下图所示了
在这里插入图片描述
在这里插入图片描述

Q15

File->ecorpwin7
What is the email address that sent the phishing email?
发送钓鱼电子邮件的电子邮件地址是什么?
回顾Q11 ,我们发现了rtf恶意文件,发件人也在其中
在这里插入图片描述
或者

./volatility_2.6_lin64_standalone -f c74-TeamSpy/ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 yarascan -Y "From:" | grep "@" -B3 -A3  

这段命令行的目的是扫描指定的内存文件,并使用 Yarascan 扫描内存以查找可能的病毒或恶意软件,-Y "From::`在 Yarascan 扫描期间,忽略扫描指定字符串的内存块
在这里插入图片描述

Q16

File->ecorpwin7
What is the name of the deb package the attacker staged to infect the E Coin Servers?
攻击者用来感染E Coin服务器的deb包的名称是什么?

strings -el ecorpwin7-e73257c4.vmem | grep -F '.deb'

在这里插入图片描述其实我也不知道是不是,但是这下的都是一个,还是用wget下载的

最难受的就是我想导出来看一下,但是并没有成功,导出来的时候是一大堆乱七八糟的文件。。。。。。

此次演示就告一段落了,因为此次篇幅较长,难度较高,建议大家多实践多操作,下期将会为大家介绍一下linux的内存取证的基础文章,敬请期待

如果觉得学到东西了,请转发,蟹蟹​

  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息隐藏技术是一种通过在数字媒体中嵌入隐藏信息的方式来保护数据安全和隐私的技术。在实际应用中,信息隐藏技术被广泛应用于数字水印、隐写术、加密通信等领域。然而,信息隐藏技术如果被恶意利用,也会成为数据泄密的手段之一。 数据泄密是指未经授权的情况下,敏感数据被泄露或传播的行为。数据泄密可能会带来严重的经济和社会损失,因此对数据泄密的溯源取证工作显得尤为重要。信息隐藏技术也可以被应用于数据泄密,攻击者可以通过嵌入隐藏信息的方式将敏感数据传输出去,从而避开安全防范措施。因此,对于新型数据泄密事件,溯源取证工作需要关注信息隐藏技术的应用。 在实际的数据泄密事件中,攻击者可能会通过隐写术将敏感信息隐藏在图片、音频、视频等媒体文件中,然后通过网络传输的方式将这些媒体文件传输给接收方。通过信息隐藏技术,攻击者可以使得传输的数据更加难以被发现和拦截,从而降低被发现的概率。但是,信息隐藏技术也并非绝对安全,通过新型的数据泄密溯源取证技术,可以追踪到隐藏信息的源头,从而揪出攻击者。 总之,信息隐藏技术在数据安全和隐私保护方面具有广泛的应用,但也需要注意防范其被恶意利用的风险。对于新型数据泄密事件,溯源取证工作需要综合应用各种技术手段,从多个角度入手,全面追踪攻击者行踪和身份,以保证数据安全和隐私保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值