Dans cet article, nous avons abordé l'enquête sur une machine Windows compromise avec WMI Backdoors. Cela faisait partie de TryHackMe enquête sur Windows 2.0 laboratoire.
L'enquête sur les machines Windows fait partie du processus de réponse aux incidents. Dans ce didacticiel, nous avons effectué une analyse médico-légale en direct sur la machine, ce qui est généralement effectué après avoir effectué une copie petit à petit du disque et de la RAM, car les machines compromises ne sont pas fiables pour une enquête médico-légale et le résultat de chaque commande peut être modifié par le malware ou rootkit.
La machine sur laquelle nous enquêtons est infectée par une porte dérobée WMI (Windows Management Instrumentation). Les portes dérobées WMI s'appuient sur des filtres d'événements et des consommateurs d'événements. Les filtres d'événements sont les conditions qui, si les consommateurs d'événements sont exécutés, sont normalement des actions spécifiques effectuées sur Windows.
Obtenir les notes du certificat OSCP
Un exemple de porte dérobée WMI est ici
Téléchargez le bref contenu de cet article au format PDF
Réponses aux tâches
Quelle clé de registre contient la même commande exécutée dans une tâche planifiée ?
HKCU\Environnement\UserIntMprLogonScript
Quel outil d'analyse se fermera immédiatement si/quand vous essayez de le lancer ?
procexp64.exe
Quelle est la requête WQL complète associée à ce script ?
SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName = 'procexp64.exe'
Qu'est-ce que le langage de script ?
VBScript
Quel est le nom de l'autre script ?
LancerBeaconingBackdoor
Quel est le nom de l'éditeur de logiciels visible dans le script ?
Logiciel Motobit
Quels sont les deux sites Web associés à cette société de logiciels ? (réponse, réponse)
http://www.motobit.com, http://motobit.cz
Recherchez en ligne le nom du script de Q5 et l'un des sites Web de la réponse précédente. Quel script d'attaque apparaît dans votre recherche ?
WMIBackdoor.ps1
Quel est l'emplacement de ce fichier sur la machine locale ?
C:\TMP
Quels sont les 2 processus qui s'ouvrent et se ferment très rapidement toutes les quelques minutes ? (réponse, réponse)
mim.exe, powershell.exe
Quel est le processus parent de ces 2 processus ?
svchost.exe
Quelle est la première opération pour le premier des 2 processus ?
Début du processus
Inspectez les propriétés pour la première occurrence de ce processus. Dans l'onglet Evénement quelles sont les 4 informations affichées ? (réponse, réponse, réponse, réponse)
PID parent, ligne de commande, répertoire actuel, environnement
Inspectez les opérations du disque, quel est le nom du processus inhabituel ?
Aucun processus
Exécutez Loki. Inspectez la sortie. Quel est le nom du module après Initialisation?
WMIScan
Concernant le 2ème avertissement, quel est le nom de l'eventFilter ?
ProcessStartTrigger
Pour le 4ème avertissement, quel est le nom de la classe ?
__FilterToConsumerBinding
Quelle alerte binaire a le 4d5a90000300000004000000ffff0000b8000000 suivant comme FIRST_BYTES ?
nbtscan.exe
D’après les résultats, quelle est la description donnée pour la raison 1 ?
Mauvais connu / Classiques à double usage
Quelle alerte binaire est marquée comme APT Cloaked ?
p.exe
Quels sont les matchs ? (str1, str2)
psexesvc.exe, Sysinternals PsExec
Quelle alerte binaire est associée à quelque chosewindows.dmp trouvé dans C:\TMP ?
schtasks-backdoor.ps1
Quel binaire crypté ressemble à un cheval de Troie ?
xCmd.exe
Il existe un binaire qui peut se faire passer pour un processus/image Windows principal légitime. Quel est le chemin complet de ce binaire ?
C:\Utilisateurs\Public\svchost.exe
Quel est le chemin complet de la version légitime ?
C:\Windows\Système32
Quelle est la description indiquée pour la raison 1 ?
Des trucs qui fonctionnent là où ils ne devraient normalement pas
Il existe un fichier dans le même emplacement de dossier qui est étiqueté comme hacktool. Quel est le nom du fichier ?
fr-US.js
Quel est le nom du Yara Rule MATCH ?
CACTUSTORCHE
Quel binaire n’est pas apparu dans les résultats de Loki ?
mim.exe
Complétez le fichier de règles yar situé dans le dossier Outils sur le bureau. Quelles sont les 3 chaînes pour compléter la règle afin de détecter le binaire que Loki n'a pas touché ? (réponse, réponse, réponse)
mk.ps1, mk.exe, v2.0.50727
Vidéo pas à pas
