Windows 2.0 조사 - TryHackMe

방Investigating Windows 2.0에 대한 글입니다.

이 방은 Investigating Windows의 연속입니다.

예약된 작업 내에서 실행되는 동일한 명령을 포함하는 레지스트리 키는 무엇입니까?

작업 스케줄러를 엽니다.



Regedit에서 작업을 검색합니다(예: sekurlsa 또는 LogonPasswords ). 당신은 거기에 끝날 것입니다 :

\HKCU\Environment\UserInitMprLogonScript

실행하려고 하면 즉시 종료되는 분석 도구는 무엇입니까?

실행 중인 maching에 대한 좋은 개요를 얻으려면 SysInternals 도구를 사용하는 것이 좋습니다. 그러나 유명한 프로세스 탐색기는 시작을 거부합니다.

procexp64.exe

이 스크립트와 관련된 전체 WQL 쿼리는 무엇입니까?

이를 위해 IOC 스캐너인 Loki를 시작합니다. 실행하는 데 시간이 좀 걸릴 수 있지만 매우 유용합니다. 일부 의심스러운/악성 파일을 감지하고 WQL 쿼리를 통해 procexp64를 사용하는 범인을 알려줍니다.



쿼리는 다음과 같습니다.

SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName = 'procexp64.exe'

스크립트 언어는 무엇입니까?

파일 열기\TMP\WMIBackdoor.ps1:

vbscript

다른 스크립트의 이름은 무엇입니까?

이것을 찾으려면 스크립트를 읽고 이해해야 합니다. Loki도 찾았습니다.

LaunchBeaconingBackdoor

스크립트 내에서 볼 수 있는 소프트웨어 회사의 이름은 무엇입니까?

주석 내에서 읽을 수 있습니다.

Motobit Software

이 소프트웨어 회사와 관련된 2개의 웹사이트는 무엇입니까?

또한 스크립트 주석 내에서 두 개의 URL을 읽을 수 있습니다.

http://www.motobit.com

http://Motobit.cz

Q5의 스크립트 이름과 이전 답변의 웹 사이트 중 하나를 온라인으로 검색하십시오. 검색에서 어떤 공격 스크립트가 나타납니까?

WMIBackdoor.ps1

로컬 시스템 내에서 이 파일의 위치는 무엇입니까?

C:\TMP

몇 분마다 매우 빠르게 열리고 닫히는 2개의 프로세스는 무엇입니까?

창 제목을 보면:

mim.exe

powershell.exe

이 두 프로세스의 상위 프로세스는 무엇입니까?

SysInternals 프로세스 모니터procmon64.exe를 시작할 수 있습니다. "프로세스 이름"에 대한 필터를 mim.exe에 추가하여 프로세스 생성을 캡처할 수 있습니다. 해당 이벤트의 속성에는 916 인 상위 PID가 있습니다. 작업 관리자에서 다음과 같은 pid916의 이름을 얻을 수 있습니다.

svchost.exe

두 프로세스 중 첫 번째 작업의 첫 번째 작업은 무엇입니까?

다시 프로세스 모니터에서 수행된 첫 번째 작업을 캡처할 수 있습니다.

Process Start

이 프로세스의 첫 번째 항목에 대한 속성을 검사합니다. 이벤트 탭에서 표시되는 4가지 정보는 무엇입니까?

이벤트 속성으로 돌아갑니다.

Parent PID

Command line

Current directory

Environment

또는

Parent PID, Command line, Current directory, Environment

디스크 작업을 검사합니다. 비정상적인 프로세스의 이름은 무엇입니까?

힌트는 Process Hacker를 사용하라고 알려줍니다.

No Process

로키를 실행합니다. 출력을 검사합니다. Init 다음의 모듈 이름은 무엇입니까?

'loki-output.txt' 모듈 섹션에서:

WMIScan

두 번째 경고와 관련하여 eventFilter의 이름은 무엇입니까?

'loki-output.txt' 이름 섹션에서:

ProcessStartTrigger

네 번째 경고의 경우 클래스 이름은 무엇입니까?

'loki-output.txt' CLASS 섹션에서:

__FilterToConsumerBinding

다음 4d5a90000300000004000000ffff0000b8000000이 FIRST_BYTES로 포함된 이진 경고는 무엇입니까?

'loki-output.txt' FIRST_BYTES 섹션에서:

nbtscan.exe

결과에 따르면 이유 1에 나열된 설명은 무엇입니까?

'loki-output.txt' DESC 섹션에서:

Known Bad / Dual use classics

APT 은폐로 표시된 이진 경보는 무엇입니까?

'loki-output.txt' FILE 섹션에서

C:\TMP\p.exe

또는

p.exe

경기는 무엇입니까?

'loki-output.txt' MATCHES 섹션에서

psexesvc.exe

Sysinternals PsExec

또는

psexesvc.exe, Sysinternals PsExec

C:\TMP에 있는 somethingwindows.dmp와 관련된 이진 경고는 무엇입니까?

'loki-output.txt' 파일/정보에서:

C:\TMP\schtasks-backdoor.ps1

또는 단순히

schtasks-backdoor.ps1

트로이 목마와 유사한 암호화된 바이너리는 무엇입니까?

Loki는 C:\TMP\xCmd.exe에서 xor 암호화 바이너리("Derusbi trojan")를 발견했습니다.

xCmd.exe

합법적인 핵심 Windows 프로세스/이미지로 가장할 수 있는 바이너리가 있습니다. 이 바이너리의 전체 경로는 무엇입니까?

이름이 916인 pidsvchost를 기억하십니까? Loki는 다음 위치에 있는 svchost에 대한 경고를 표시했습니다.

C:\Users\Public\svchost.exe

정식 버전의 전체 경로 위치는 무엇입니까?

Svchost는 하나 이상의 Windows 서비스를 호스트할 수 있는 시스템 프로세스입니다. 에 코팅되어 있습니다.

%SystemRoot%\System32\Svchost.exe

%SystemRoot%\SysWOW64\Svchost.exe

그리고 THM 가공에서:

C:\Windows\System32

이유 1에 나열된 설명은 무엇입니까?

해당 DESC 섹션을 살펴보십시오.

Stuff running where it normally shouldn't

동일한 폴더 위치에 hacktool이라는 레이블이 지정된 파일이 있습니다. 파일 이름이 무엇입니까?

악성svchost.exe 옆에는 이상한 javascript 파일이 있습니다.

en-US.js

야라룰 MATCH의 이름은?

Loki는 다음과 같은 규칙으로 해당 파일에 대한 경고를 제기했습니다.

CACTUSTORCH

자바스크립트 쉘코드 인젝터처럼 보입니다.

Loki 결과에 표시되지 않은 바이너리는 무엇입니까?

mim.exe

데스크탑의 Tools 폴더에 있는 yar 규칙 파일을 완료하십시오. Loki가 발견하지 못한 바이너리를 탐지하기 위해 규칙을 완성하기 위한 3개의 문자열은 무엇입니까?

제공된 yara 규칙의 문자열(정규식)을 완성해야 합니다. SysInternals 제품군의 strings64.exe를 사용하여 findstr를 통해 정규 표현식을 테스트할 수 있습니다.

strings64.exe \tmp\mim.exe | findstr "??.?x?"
strings64.exe \tmp\mim.exe | findstr "...exe"
strings64.exe \tmp\mim.exe | findstr "mk.exe"

드디어,

mk.ps1, mk.exe, v2.0.50727

좋아, 끝났어!

이 방은 즐거웠습니다. 언젠가는 3.0이 나왔으면 좋겠습니다! 그것을 만든 Heavenraiza에게 축하를 전합니다.