应急响应靶机 —— 近源渗透 OS1
靶场链接
一、靶场信息
1.1 背景
小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
1.2 挑战
①攻击者的外网IP地址
②攻击者的内网跳板IP地址
③攻击者使用的限速软件的md5大写
④攻击者的后门md5大写
⑤攻击者留下的flag
1.3 注意
该靶机存在许多非预期解,请合理练习应急响应技能(如果你是为了解题而解题,当然很好解)。
1.4 相关账号密码
账号:Administrator
密码:zgsf@2024
1.5 解题
运行桌面上 “解题工具.exe” 即可
二、简单分析
一般检查思路见应急响应靶机 —— Windows 1
①攻击者的外网IP地址
近源渗透一般都是通过WiFi、USB设备、社工钓鱼等,需要用到外网IP的,一般都是需要落地文件,可以检查最近访问文件或者其他可疑文件
②攻击者的内网跳板IP地址
各类日志、内网穿透配置文件、或者脚本等
③攻击者使用的限速软件的md5大写
用户文件夹、最近访问文件等
④攻击者的后门md5大写
映像劫持、计划任务、启动项、服务、shift后门等
⑤攻击者留下的flag
日志、计划任务、启动项、服务等
三、题解
这里安装VMtools会报错,解决方法:安装 kb4474419 补丁,重启虚拟机之后再安装VMtools
觉得麻烦,可登录虚拟机查看IP后直接远程桌面登录
检查文件前,先设置显示隐藏文件
在桌面发现一个隐藏文件夹,打开里面有 “test.bat” ,脚本内容为下载执行指定程序,拿到内网跳板IP 192.168.20.129
打包桌面文件,上传到云沙箱分析,微步分析结果为 恶意
在进程详情中能看到恶意文件为 “学校放假通知-练习.doc” ,外网IP为 8.219.200.130
查看一下恶意文件属性,创建时间和访问时间为同一天 2024年5月6日
查找 2024-05-06 创建的文件,输出到txt文件
按时间进行降序排列,重点关注在钓鱼文件之后创建的 exe文件
通过百度搜索,p2pover可限制带宽
定位到文件后,计算MD5值:2A5D8838BDB4D404EC632318C94ADC96
可用工具转换成大写,我用的是 notepad-- (notepad++作者发表不当言论,已卸载)
检查启动项、计划任务、服务未发现异常,排查shift后门时(连续点击shift键5次),发现攻击者留的后门,
搜索定位,计算MD5:58A3FF82A1AFF927809C529EB1385DA1
四、提交flag
整理提交flag