En esta publicación, cubrimos la investigación de una máquina Windows comprometida con puertas traseras WMI. Esto fue parte de TryHackMe investigando Windows 2.0 laboratorio.
La investigación de máquinas con Windows es parte del proceso de respuesta a incidentes. En este tutorial, realizamos pruebas forenses en vivo en la máquina, que generalmente se realizan después de realizar una copia bit a bit del disco y la RAM, ya que las máquinas comprometidas no son confiables para la investigación forense y el malware o el malware pueden alterar la salida de cada comando. rootkit.
La máquina que estamos investigando está infectada con la puerta trasera WMI (Instrumental de administración de Windows). Las puertas traseras WMI se basan en filtros y consumidores de eventos. Los filtros de eventos son las condiciones que, si se cumplen, se ejecutan los consumidores de eventos, que normalmente son acciones específicas realizadas en Windows.
Obtenga notas del certificado OSCP
Un ejemplo de puerta trasera WMI es aquí
Descarga el material breve de este post en formato PDF
Respuestas de tareas
¿Qué clave de registro contiene el mismo comando que se ejecuta dentro de una tarea programada?
HKCU\Environment\UserIntMprLogonScript
¿Qué herramienta de análisis se cerrará inmediatamente si intenta iniciarla?
procexp64.exe
¿Cuál es la consulta WQL completa asociada con este script?
SELECCIONE * DESDE Win32_ProcessStartTrace DONDE ProcessName = 'procexp64.exe'
¿Qué es el lenguaje de escritura?
VBScript
¿Cómo se llama el otro guión?
LanzamientoBeaconingPuerta trasera
¿Cuál es el nombre de la empresa de software visible en el script?
Software Motobit
¿Qué 2 sitios web están asociados con esta empresa de software? (respuesta, respuesta)
http://www.motobit.com, http://motobit.cz
Busque en línea el nombre del script de la pregunta 5 y uno de los sitios web de la respuesta anterior. ¿Qué script de ataque aparece en tu búsqueda?
WMIBackdoor.ps1
¿Cuál es la ubicación de este archivo dentro de la máquina local?
C:\TMP
¿Qué 2 procesos se abren y cierran muy rápidamente cada pocos minutos? (respuesta, respuesta)
mim.exe, powershell.exe
¿Cuál es el proceso principal para estos 2 procesos?
svchost.exe
¿Cuál es la primera operación para el primero de los 2 procesos?
Inicio del proceso
Inspeccione las propiedades para detectar la primera aparición de este proceso. En la pestaña Evento, ¿cuáles son los 4 datos que se muestran? (respuesta, respuesta, respuesta, respuesta)
PID principal, línea de comando, directorio actual, entorno
Inspeccione las operaciones del disco, ¿cómo se llama el proceso inusual?
Ningún proceso
Ejecute Loki. Inspeccione la salida. ¿Cuál es el nombre del módulo después? En eso?
WMIScan
Respecto a la segunda advertencia, ¿cuál es el nombre del eventFilter?
Activador de inicio de proceso
Para la cuarta advertencia, ¿cuál es el nombre de la clase?
__FilterToConsumerBinding
¿Qué alerta binaria tiene el siguiente 4d5a90000300000004000000ffff0000b8000000 como FIRST_BYTES?
nbtscan.exe
Según los resultados, ¿cuál es la descripción que figura en la razón 1?
Clásicos conocidos malos/de doble uso
¿Qué alerta binaria está marcada como APT encubierta?
p.exe
¿Cuáles son los partidos? (cadena1, cadena2)
psexesvc.exe, Sysinternals PsExec
¿Qué alerta binaria está asociada con algo windows.dmp que se encuentra en C:\TMP?
schtasks-puerta trasera.ps1
¿Qué binario cifrado es similar a un troyano?
xCmd.exe
Hay un binario que puede hacerse pasar por un proceso/imagen central legítimo de Windows. ¿Cuál es la ruta completa de este binario?
C:\Usuarios\Público\svchost.exe
¿Cuál es la ubicación de la ruta completa para la versión legítima?
C:\Windows\System32
¿Cuál es la descripción que aparece por la razón 1?
Cosas que se ejecutan donde normalmente no deberían
Hay un archivo en la misma ubicación de la carpeta que está etiquetado como herramienta de pirateo. ¿Cuál es el nombre del archivo?
es-US.js
¿Cómo se llama el PARTIDO de la Regla Yara?
ANTORCHA DE CACTUS
¿Qué binario no apareció en los resultados de Loki?
mim.exe
Complete el archivo de reglas yar ubicado dentro de la carpeta Herramientas en el Escritorio. ¿Cuáles son las 3 cadenas para completar la regla para detectar el binario con el que Loki no acertó? (respuesta, respuesta, respuesta)
mk.ps1, mk.exe, v2.0.50727
Tutorial en vídeo
