0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

攻击者访问了“Gideon”用户

哆啦安全 来源:哆啦安全 2023-11-29 15:50 次阅读

上文我们对第一台Target机器进行内存取证,今天我们继续往下学习,内存镜像请从上篇获取,这里不再进行赘述

Gideon

0x01 - 攻击者访问了“Gideon”用户,以便向AllSafeCyberSec域控制器窃取文件,他们使用的密码是什么?

攻击者执行了net use z: \10.1.1.2c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了

ce2d0384-8e49-11ee-939d-92fbcf53809c.png

0x02 - 攻击者创建的RAR文件的名称是什么?

ce419524-8e49-11ee-939d-92fbcf53809c.png

0x03 - 攻击者向RAR压缩包添加了多少文件?

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdline  
./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 cmdscan

ce61486a-8e49-11ee-939d-92fbcf53809c.png

将进程导出成dmp格式

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 memdump -p 3048 -D ./rar

ce6ca0fc-8e49-11ee-939d-92fbcf53809c.png

直接搜索关键字,按照txt格式搜索就可以

strings -e l 3048.dmp | grep -10 crownjewlez | grep txt

ce854724-8e49-11ee-939d-92fbcf53809c.png

这里乱七八糟的,数来数去也就是3个,这里grep txt的原因是因为我们在上面的*txt就已经知道别人只是把txt文件压缩了,所以我们只要看txt文件就行
后来发现不用导出

strings -e l  target2-6186fe9f.vmss| grep -10 crownjewlez.rar | grep txt

ce9216fc-8e49-11ee-939d-92fbcf53809c.png

0x04 - 攻击者似乎在Gideon的机器上创建了一个计划任务。与计划任务关联的文件的名称是什么?

./volatility_2.6_lin64_standalone-ftarget2-6186fe9f.vmss--profile=Win7SP1x86_23418filescan|grep'System32\Tasks'

ceb28a7c-8e49-11ee-939d-92fbcf53809c.png

导出

./volatility_2.6_lin64_standalone -f target2-6186fe9f.vmss  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D ./task

cec79980-8e49-11ee-939d-92fbcf53809c.png

cee41f56-8e49-11ee-939d-92fbcf53809c.png

POS

0x05 - 恶意软件的CNC服务器是什么?

老规矩,先看第三个镜像的信息

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss imageinfo

cef1276e-8e49-11ee-939d-92fbcf53809c.png

网络扫描

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 netscan

cf074436-8e49-11ee-939d-92fbcf53809c.png

暂时看到iexplore.exe ,该进程贯穿核心,而后我们继续往下看,尝试过滤一下恶意代码扫描结果

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418  malfind | grep iexplore.exe

cf1e898e-8e49-11ee-939d-92fbcf53809c.png

暂时对应了,所以此题答案就是54.84.237.92

cf38e8ce-8e49-11ee-939d-92fbcf53809c.png

0x06 - 用于感染POS系统的恶意软件的家族是什么?

笔者尝试了很多方法都没有找到正确的木马家族,然后就看了一下国外大佬的,才知道原来malfind也可以导出文件

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 malfind -p 3208 -D ./tmp

cf4584da-8e49-11ee-939d-92fbcf53809c.png

cf6afed6-8e49-11ee-939d-92fbcf53809c.png

cf80f63c-8e49-11ee-939d-92fbcf53809c.png

0x07 - Allsafecybersec的具体应用程序是什么?

strings process.0x83f324d8.0x50000.dmp| grep exe

cfaca25a-8e49-11ee-939d-92fbcf53809c.png

0x08 - 恶意软件最初启动的文件名是什么?

./volatility_2.6_lin64_standalone -f POS-01-c4e8f786.vmss  --profile=Win7SP1x86_23418 iehistory

cfc499aa-8e49-11ee-939d-92fbcf53809c.png

或者将3208进程导出来

./volatility_2.6_lin64_standalone-fPOS-01-c4e8f786.vmss--profile=Win7SP1x86_23418memdump-p3208-D./tmp

cfe38d56-8e49-11ee-939d-92fbcf53809c.png

strings 3208.dmp| grep exe | grep all

cff9fdde-8e49-11ee-939d-92fbcf53809c.png


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 控制器
    +关注

    关注

    112

    文章

    16339

    浏览量

    177854
  • CNC
    CNC
    +关注

    关注

    7

    文章

    310

    浏览量

    35143
  • RAR
    RAR
    +关注

    关注

    0

    文章

    3

    浏览量

    6064

原文标题:Gideon

文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    对嵌入式系统的攻击 攻击者通过什么途径得到ATM的密钥呢?

       攻击着可能从最简单的操作开始,假如密钥存储在外部存储器,攻击者只需简单地访问地址和数据总线窃取密钥。即使密钥没有连续存放在存储器内,攻击者仍然可以**外部代码,确定哪个存储器包含
    发表于 08-11 14:27

    CC攻击

    了解CC攻击的原理及如果发现CC攻击和对其的防范措施。   1、攻击原理   CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服
    发表于 09-10 15:59

    阿里云DDoS高防 - 访问攻击日志实时分析(三)

    DDoS保护的网站目前的总体运营状况,包括有效请求状况、流量、趋势以及被CC攻击的流量、峰值、攻击者分布等。[/tr][tr=transparent]OS访问中心
    发表于 07-11 15:16

    网络攻击的相关资料分享

    持续检测现有网络中的流量变化或者变化趋势,从而得到相应信息的一种被动攻击方式。主动攻击:是指通过一系列的方法,主动地获取向被攻击对象实施破坏的一种攻击方式。典型的主动
    发表于 12-23 07:00

    cc攻击防御解决方法

    不到真实ip,但是此举只能防住部分比较菜的攻击者,除非你做到真正的把ip隐藏起来。禁止代理访问前面讲了攻击者是通过大量代理进行攻击,设置禁止代理访问
    发表于 01-22 09:48

    基于攻击者角度的网络安全评估方法

    针对 网络安全 的评估问题,提出了基于攻击者角度的评估模型,并以此为依据建立评估指标体系。在此基础上,借助AHP灰色理论对网络的安全属性在网络攻击过程中遭受的破坏程度进
    发表于 07-13 11:08 21次下载
    基于<b class='flag-5'>攻击者</b>角度的网络安全评估方法

    攻击者为中心的安全协议验证机制

    提出一种能对安全协议进行分析的自动化验证机制。提出需求的概念,认为需求是攻击者未知但又对攻击者合成目标项至关重要的知识集合,并建立了以需求为中心的攻击者模型;设计一种以攻击者为中心的状
    发表于 01-09 11:05 0次下载
    以<b class='flag-5'>攻击者</b>为中心的安全协议验证机制

    攻击者可通过本地WiFi控制目标iPhone

    人们一般认为这种攻击方式需要社会工程的参与,因为 iPhone 机主至少需要点击 iPhone 设备上的弹窗以同意与攻击者的设备进行配对。但这并不难实现,用户经常会在匆忙中连接陌生人的笔记本为手机临时充电,而没有在意与陌生人进行
    的头像 发表于 04-21 10:29 4917次阅读

    攻击者怎样在智能家居系统中制造混乱

    安全公司趋势科技的最新研究表明,在普通家庭中发现一些设备比其他设备更容易受到网络攻击,而且攻击者有很多方法制造混乱。
    发表于 09-03 14:17 461次阅读

    最新报告指出:DDoS攻击者在2020年第二季度已改变攻击策略

    根据Nexusguard的最新报告,DDoS攻击者在2020年第二季度改变了攻击策略,点块式(Bit-and-piece)DDoS攻击与去年同期相比增加了570%。
    的头像 发表于 10-12 12:04 2141次阅读

    谷歌在Linux内核发现蓝牙漏洞,攻击者可运行任意代码或访问敏感信息

    谷歌安全研究人员在Linux Kernel中发现了一组蓝牙漏洞(BleedingTooth),该漏洞可能允许攻击者进行零点击攻击,运行任意代码或访问敏感信息。
    的头像 发表于 10-16 14:22 3661次阅读

    攻击者角度浅谈系统安全

    攻击者主要的目标围绕着破坏系统安全性问题,通过深入了解系统安全的攻击者,从攻击者的视角上来考虑设计系统安全性,这样能够更好了解如何对系统采取主动和被动的安全措施。
    发表于 12-21 15:05 583次阅读

    不易被攻击者识别为跟踪设备的设备

    电子发烧友网站提供《不易被攻击者识别为跟踪设备的设备.zip》资料免费下载
    发表于 12-29 11:25 0次下载
    不易被<b class='flag-5'>攻击者</b>识别为跟踪设备的设备

    网络攻击者将物联网设备作为攻击目标的原因

    物联网设备受到网络攻击是因为它们很容易成为目标,在正常运行时间对生存至关重要的行业中,它们可以迅速导致大量的勒索软件攻击。制造业受到的打击尤其严重,因为网络攻击者知道任何一家工厂都无法承受长期停工的后果,因此他们索要的赎金是其他
    发表于 06-14 14:46 597次阅读

    【虹科威廉希尔官方网站 分享】ntopng是如何进行攻击者和受害检测

    在最新的ntopng版本中,为了帮助理解网络和安全问题,警报已经大大丰富了元数据。在这篇文章中,我们重点讨论用于丰富流量警报和标记主机的"攻击者"和"受害"
    的头像 发表于 04-24 17:12 893次阅读
    【虹科威廉希尔官方网站
分享】ntopng是如何进行<b class='flag-5'>攻击者</b>和受害<b class='flag-5'>者</b>检测