In diesem Beitrag haben wir die Untersuchung einer kompromittierten Windows-Maschine mit WMI-Backdoors behandelt. Dies war Teil von TryHackMe untersucht Windows 2.0 Labor.
Die Untersuchung von Windows-Rechnern ist Teil des Vorfallreaktionsprozesses. In diesem Tutorial haben wir eine Live-Forensik auf dem Rechner durchgeführt, was normalerweise erfolgt, nachdem Sie eine Bit-für-Bit-Kopie der Festplatte und des RAM erstellt haben, da kompromittierte Rechner für forensische Untersuchungen nicht zuverlässig sind und die Ausgabe jedes Befehls durch die Malware oder das Rootkit geändert werden kann.
Die von uns untersuchte Maschine ist mit einer WMI-Hintertür (Windows Management Instrumentation) infiziert. WMI-Hintertüren basieren auf Ereignisfiltern und Ereigniskonsumenten. Ereignisfilter sind die Bedingungen, unter denen Ereigniskonsumenten ausgeführt werden, wenn sie erfüllt sind. Dabei handelt es sich normalerweise um bestimmte Aktionen, die in Windows ausgeführt werden.
Holen Sie sich Hinweise zum OSCP-Zertifikat
Ein Beispiel für eine WMI-Hintertür ist Hier
Laden Sie das Kurzmaterial dieses Beitrags als PDF herunter
Aufgabenantworten
Welcher Registrierungsschlüssel enthält denselben Befehl, der innerhalb einer geplanten Aufgabe ausgeführt wird?
HKCU\Environment\UserIntMprLogonScript
Welches Analysetool wird sofort geschlossen, wenn Sie versuchen, es zu starten?
procexp64.exe
Was ist die vollständige WQL-Abfrage, die diesem Skript zugeordnet ist?
Wählen Sie * aus Win32_ProcessStartTrace, wo Prozessname = "procexp64.exe"
Was ist die Skriptsprache?
VBScript
Wie heißt das andere Skript?
LaunchBeaconingBackdoor
Wie lautet der Name des im Skript sichtbaren Softwareunternehmens?
Motobit Software
Welche 2 Websites sind mit diesem Softwareunternehmen verbunden? (Antwort, Antwort)
http://www.motobit.com, http://motobit.cz
Suchen Sie online nach dem Namen des Skripts aus Frage 5 und einer der Websites aus der vorherigen Antwort. Welches Angriffsskript wird bei Ihrer Suche angezeigt?
WMIBackdoor.ps1
Wo befindet sich diese Datei auf dem lokalen Computer?
C:\TMP
Welche 2 Prozesse öffnen und schließen sich alle paar Minuten sehr schnell? (Antwort, Antwort)
mim.exe, powershell.exe
Was ist der übergeordnete Prozess für diese beiden Prozesse?
Herunterladen
Was ist die erste Operation für den ersten der beiden Prozesse?
Prozessstart
Überprüfen Sie die Eigenschaften auf das erste Vorkommen dieses Prozesses. Welche 4 Informationen werden auf der Registerkarte „Ereignis“ angezeigt? (Antwort, Antwort, Antwort, Antwort)
Übergeordnete PID, Befehlszeile, Aktuelles Verzeichnis, Umgebung
Überprüfen Sie die Festplattenvorgänge. Wie heißt der ungewöhnliche Vorgang?
Kein Prozess
Führen Sie Loki aus. Überprüfen Sie die Ausgabe. Wie heißt das Modul nach Drin?
WMIScan
Bezüglich der 2. Warnung: Wie lautet der Name des Ereignisfilters?
ProzessStartTrigger
Wie lautet der Klassenname für die vierte Warnung?
__FilterToConsumerBinding
Welcher binäre Alarm hat die folgenden 4d5a90000300000004000000ffff0000b8000000 als FIRST_BYTES?
Herunterladen
Wie lautet laut den Ergebnissen die aufgeführte Beschreibung für Grund 1?
Bekannte schlechte / Dual-Use-Klassiker
Welcher binäre Alarm ist als APT Cloaked gekennzeichnet?
p.exe
Was sind die Übereinstimmungen? (str1, str2)
psexesvc.exe, Sysinternals PsExec
Welcher binäre Alarm ist mit „somethingwindows.dmp“ verknüpft, das in C:\TMP gefunden wurde?
schtasks-backdoor.ps1
Welche Binärdatei ist verschlüsselt und ähnelt einem Trojaner?
xCmd.exe
Es gibt eine Binärdatei, die sich als legitimer Windows-Kernprozess/-Image tarnen kann. Wie lautet der vollständige Pfad dieser Binärdatei?
C:\Benutzer\Öffentlich\svchost.exe
Wie lautet der vollständige Pfad zur legitimen Version?
C:\Windows\System32
Welche Beschreibung wird für Grund 1 aufgeführt?
Dinge laufen dort, wo sie normalerweise nicht laufen sollten
Im selben Ordner befindet sich eine Datei, die als Hacktool gekennzeichnet ist. Wie heißt die Datei?
de-DE.js
Wie heißt das Yara Rule MATCH?
KAKTUSFACKEL
Welche Binärdatei wurde in den Loki-Ergebnissen nicht angezeigt?
mim.exe
Vervollständigen Sie die yar-Regeldatei im Ordner „Tools“ auf dem Desktop. Welche 3 Zeichenfolgen müssen zur Vervollständigung der Regel verwendet werden, um die Binärdatei zu erkennen, die Loki nicht gefunden hat? (Antwort, Antwort, Antwort)
mk.ps1, mk.exe, v2.0.50727
Video-Anleitung
