Wir haben die Durchführung von Speicherforensik mit dem Volatility-Framework behandelt. Das Szenario umfasste eine Speicherauszugsdatei, die vermutlich verschlüsselte Dokumente enthielt, die wir mit den entsprechenden Plugins wie Filescan und Dumpfiles extrahiert haben. Die extrahierte Datei wurde mit TrueCrypt verschlüsselt und daher wurde das für die Verschlüsselung verwendete Passwort mit dem Plugin truecryptpassphrase mit Volatility Version 2 extrahiert. Die verschlüsselte Datei wurde nach der Entschlüsselung mit VeraCrypt als Dateisystem gemountet und enthielt einen in C# geschriebenen Quellcode. Der Quellcode enthielt Ausschnitte, die auf die Verwendung des DES-Verschlüsselungsalgorithmus zum Verschlüsseln anderer Dateien hinweisen. Dies war Teil von HackTheBox TrueSecrets Forenscis-Herausforderung.
Erhalten Sie Feldnotizen zur Computerforensik
Der komplette Kurs zum Penetrationstest mit BackBox
Unsere Cybercrime-Einheit untersucht seit mehreren Monaten eine bekannte APT-Gruppe. Die Gruppe war für mehrere spektakuläre Angriffe auf Unternehmen verantwortlich. Interessant an diesem Fall ist jedoch, dass sie einen eigenen, maßgeschneiderten Befehls- und Kontrollserver entwickelt haben. Glücklicherweise konnte unsere Einheit das Haus des Anführers der APT-Gruppe durchsuchen und einen Speicherdatensatz seines Computers erstellen, während dieser noch eingeschaltet war. Analysieren Sie den Datensatz, um den Quellcode des Servers zu finden.
Video-Highlights
Wie im Video erklärt, haben wir die folgenden Volatility 3-Plugins zum Extrahieren der Artefakte verwendet:
windows.info
windows.filescan
windows.dumpfiles
Und um das für das TrueCrypt-Volume verwendete Passwort zu extrahieren, kann das folgende Plugin mit Volatility 2 verwendet werden
TrueCrypt-Passphrase
Das verschlüsselte Volume kann mit VeraCrypt gemountet werden. Durch Eingabe des Passworts erhalten Sie Zugriff auf das Hauptdateisystem, das einen C#-Code und mit DES verschlüsselte Dateien enthält. Mit dem IV und dem Schlüssel im Code können Sie die Dateien entschlüsseln und das Flag abrufen.
Die Flagge dieser Challenge ist nach der Extraktion im freigegebenen Verzeichnis zu finden und speziell auf einem Papier geschrieben, das von der auf dem Bild gezeigten Person gehalten wird.
Video-Komplettlösung
