In questo post abbiamo trattato l'indagine su un computer Windows compromesso con WMI Backdoors. Questo faceva parte TryHackMe indaga su Windows 2.0 laboratorio.
L'analisi dei computer Windows fa parte del processo di risposta agli incidenti. In questo tutorial, abbiamo condotto un'analisi forense dal vivo sulla macchina, che in genere viene eseguita dopo aver eseguito una copia bit per bit del disco e della RAM poiché le macchine compromesse non sono affidabili per le indagini forensi e l'output di ogni comando può essere alterato dal malware o rootkit.
La macchina su cui stiamo indagando è infettata dalla backdoor WMI (Strumentazione gestione Windows). Le backdoor WMI si basano su filtri di eventi e consumer di eventi. I filtri degli eventi sono le condizioni secondo le quali, se soddisfatti, i consumatori degli eventi vengono eseguiti, che normalmente sono azioni specifiche eseguite su Windows.
Ottieni le note sul certificato OSCP
Un esempio di WMI Backdoor è Qui
Scarica il breve materiale di questo post in formato PDF
Risposte alle attività
Quale chiave di registro contiene lo stesso comando eseguito all'interno di un'attività pianificata?
HKCU\Ambiente\UserIntMprLogonScript
Quale strumento di analisi si chiuderà immediatamente se/quando tenti di avviarlo?
procexp64.exe
Qual è la query WQL completa associata a questo script?
SELEZIONA * FROM Win32_ProcessStartTrace WHERE ProcessName = 'procexp64.exe'
Qual è il linguaggio di scrittura?
VBScript
Come si chiama l'altro script?
LaunchBeaconingBackdoor
Qual è il nome della società di software visibile nello script?
Software Motobit
Quali 2 siti Web sono associati a questa società di software? (risposta, risposta)
http://www.motobit.com, http://motobit.cz
Cerca online il nome dello script della domanda 5 e uno dei siti web della risposta precedente. Quale script di attacco emerge dalla tua ricerca?
WMIBackdoor.ps1
Qual è la posizione di questo file nel computer locale?
C:\TMP
Quali 2 processi si aprono e si chiudono molto rapidamente ogni pochi minuti? (risposta, risposta)
mim.exe, powershell.exe
Qual è il processo genitore per questi 2 processi?
svchost.exe
Qual è la prima operazione per il primo dei 2 processi?
Inizio del processo
Ispezionare le proprietà per la prima occorrenza di questo processo. Nella scheda Evento quali sono le 4 informazioni visualizzate? (risposta, risposta, risposta, risposta)
PID principale, riga di comando, directory corrente, ambiente
Ispeziona le operazioni del disco, qual è il nome del processo insolito?
Nessun processo
Corri Loki. Ispezionare l'output. Qual è il nome del modulo dopo? Dentro?
WMIScan
Per quanto riguarda il 2° avviso, qual è il nome dell'eventFilter?
ProcessStartTrigger
Per il 4° avvertimento, qual è il nome della classe?
__FilterToConsumerBinding
Quale avviso binario ha il seguente 4d5a90000300000004000000ffff0000b8000000 come FIRST_BYTES?
nbtscan.exe
Secondo i risultati, qual è la descrizione elencata per il motivo 1?
Noti cattivi / Classici a doppio uso
Quale avviso binario è contrassegnato come APT Cloaked?
p.exe
Quali sono le partite? (str1, stra2)
psexesvc.exe, Sysinternals PsExec
Quale avviso binario è associato a qualcosawindows.dmp trovato in C:\TMP?
schtasks-backdoor.ps1
Quale binario crittografato è simile a un trojan?
xCmd.exe
Esiste un file binario che può mascherarsi da processo/immagine core Windows legittimo. Qual è il percorso completo di questo binario?
C:\Utenti\Pubblica\svchost.exe
Qual è il percorso completo della versione legittima?
C:\Windows\System32
Qual è la descrizione elencata per il motivo 1?
Roba che corre dove normalmente non dovrebbe
C'è un file nella stessa posizione della cartella etichettato come hacktool. Qual è il nome del file?
en-US.js
Come si chiama Yara Rule MATCH?
TORCIA DI CACTUS
Quale binario non è stato mostrato nei risultati di Loki?
mim.exe
Completa il file delle regole yar situato nella cartella Strumenti sul desktop. Quali sono le 3 stringhe per completare la regola per rilevare il binario su cui Loki non ha colpito? (risposta, risposta, risposta)
mk.ps1, mk.exe, v2.0.50727
Video walk-through
