Task 26 [Day 21] Blue Teaming Time for some ELForensics
Một trong những 'người trợ giúp nhỏ' đã đăng nhập vào máy trạm của mình chỉ để nhận ra rằng tệp kết nối cơ sở dữ liệu đã bị thay thế và anh ta không thể tìm thấy danh sách nghịch ngợm nữa. Hơn nữa, khi thực thi tệp trình kết nối cơ sở dữ liệu, một thông báo chế nhạo đã được hiển thị, ám chỉ rằng tệp đã được chuyển đến một vị trí khác.
McEager đã được thông báo và anh ấy sẽ ghép các mảnh lại với nhau để tìm ra tệp kết nối cơ sở dữ liệu.
Nhiệm vụ: Tìm nơi ẩn tệp trình kết nối cơ sở dữ liệu bằng cách sử dụng các kỹ thuật điều tra giống như pháp y.
Bạn có thể sử dụng AttackBox và Remmina để kết nối với máy từ xa. Đảm bảo rằng máy từ xa đã được triển khai trước khi tiếp tục.
Bấm vào biểu tượng dấu cộng như hình bên dưới.
Đối với Máy chủ, cung cấp (MACHINE_IP) làm địa chỉ IP được cung cấp cho bạn cho máy tính từ xa. Thông tin đăng nhập cho tài khoản người dùng là:
- User name:
littlehelper - User password:
iLove5now!
Chấp nhận Chứng chỉ khi được nhắc và bạn sẽ đăng nhập vào hệ thống từ xa ngay bây giờ.
Lưu ý: Máy ảo có thể mất đến 3 phút để tải.
Chúng ta sẽ tiếp tục cuộc hành trình với Powershell. Với Powershell, chúng tôi có thể lấy tệp băm của tệp trên điểm cuối.
Băm tệp, hay đơn giản là hàm băm, là một thuật toán toán học phân tích dữ liệu của tệp và xuất ra một giá trị, chính là hàm băm của nó. Hàm băm tệp cho chúng tôi biết liệu tệp có hợp pháp hay không dựa trên hàm băm tệp đã được xác minh của nó. Nếu tệp đã được thay thế hoặc thay đổi, thì hàm băm của tệp sẽ khác. Có những ngoại lệ đối với quy tắc này, nhưng chúng tôi sẽ không đi sâu vào điều đó. Hiện tại, thật an toàn khi biết rằng băm tệp hoạt động giống như chữ ký cho tệp.
Với PowerShell, chúng ta có thể lấy mã băm của tệp bằng cách chạy lệnh sau:
Get-FileHash -Algorithm MD5 file.txt
Bằng cách so sánh băm tệp đã xác minh với đầu ra của lệnh ghép ngắn ở trên, bạn sẽ biết liệu tệp đó có xác thực hay không.
Tại thời điểm này, bạn nên chắc chắn rằng tệp nằm trong thư mục Documents không hợp pháp. Nếu bạn chạy tệp, bạn có thể thấy rằng không có nhiều thông tin được cung cấp, chỉ có gợi ý rằng tệp gốc đã được chuyển đến vị trí khác trong điểm cuối.
Một công cụ khác mà bạn có thể sử dụng để kiểm tra bên trong tệp nhị phân (.exe) là Strings.exe. Các chuỗi quét tệp bạn chuyển nó để tìm các chuỗi có độ dài mặc định từ 3 ký tự trở lên. Bạn có thể sử dụng công cụ Strings để xem bên trong tệp thực thi bí ẩn này. Công cụ này nằm trong
Lệnh chạy cho công cụ Strings để quét tệp thực thi bí ẩn: c:\Tools\strings64.exe -accepteula file.exe
Trong đầu ra, bạn sẽ thấy một lệnh liên quan đến ADS. Bạn biết điều này khi kết thúc lệnh Powershell -Stream.
Alternate Data Streams (ADS) là thuộc tính tệp dành riêng cho Windows NTFS (Hệ thống tệp công nghệ mới). Mỗi tệp có ít nhất một luồng dữ liệu ($ DATA) và ADS cho phép tệp chứa nhiều hơn một luồng dữ liệu. Native Window Explorer không hiển thị ADS cho người dùng. Có thể sử dụng tệp thi hành của bên thứ 3 để xem dữ liệu này, nhưng Powershell cung cấp cho bạn khả năng xem ADS cho tệp.
Các tác giả phần mềm độc hại đã sử dụng ADS để ẩn dữ liệu trong một điểm cuối, nhưng không phải tất cả các cách sử dụng của nó đều độc hại. Khi bạn tải một tệp từ Internet xuống một điểm cuối, có các số nhận dạng được ghi vào ADS để xác định rằng tệp đó đã được tải xuống từ Internet.
Lệnh để xem ADS bằng Powershell:
Get-Item -Path file.exe -Stream *
Có một vài dòng xuất khi bạn chạy lệnh này. Đặc biệt chú ý đến Dòng và Độ dài.
Nhớ lại rằng tệp trình kết nối cơ sở dữ liệu là một tệp thực thi và nó bị ẩn trong một luồng dữ liệu thay thế cho một tệp khác. Chúng ta có thể sử dụng một công cụ Windows có sẵn, Windows Management Instrumentation, để khởi chạy tệp ẩn.
Lệnh chạy để khởi chạy ẩn thực thi ẩn trong ADS: wmic process call create $(Resolve-Path file.exe:streamname)
Lưu ý: Bạn phải thay thế file.exe bằng tên thực của tệp chứa ADS và streamname là tên thực của luồng được hiển thị trong đầu ra.
What is the file hash of the mysterious executable within the Documents folder?
Using Strings find the hidden flag within the executable?
What is the flag that is displayed when you run the database connector file?
0 Comments