Des deux côtés 2/2
Catégorie : Forensic
Points : 500
Voir les deux côtés de quelque chose, c'est toujours bon non?
Un de vos employés s'est fait voler sa machine il y a 3 heures, heureusement, votre SI est bien configuré et des snapshots mémoires sont réalisées toutes les 2 heures ! Votre employé vous affirme qu'il a reçu un mail officiel de ses supérieurs pour télécharger une nouvelle application l'aidant dans son travail.. Votre but est d'identifier le nom de ce fichier, et de trouver sur quelle ip ainsi que sur quel port la backdoor s'est connectée !
Le fichier est le même que pour le premier challenge
Format : BZHCTF{malveillant.exe-ip:port}
- On a un dump mémoire "memory.dmp" de 1.1Go (=volatility)
- On cherche une appli (exe ?) qui serait en réalité une backdoor
- La machine volée est une Windows et plus précisément une Win7SP1x86_23418 :
file memory.dmp
memory.dmp: MS Windows 32bit crash dump, PAE, full dump, 262144 pages
python volatility/vol.py -f memory.dmp imageinfo
Volatility Foundation Volatility Framework 2.6.1
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86 (Instantiated with WinXPSP2x86)
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : WindowsCrashDumpSpace32 (Unnamed AS)
AS Layer3 : FileAddressSpace (/mnt/v/BZHCTF/FOFO/memory.dmp)
PAE type : PAE
DTB : 0x185000L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2022-02-23 19:29:05 UTC+0000
Image local date and time : 2022-02-23 11:29:05 -0800
Je commence par lister l'ensemble des process en cours sur le système.
python volatility/vol.py -f memory.dmp --profile=Win7SP1x86_23418 pstree
Name Pid PPid Thds Hnds Time
-------------------------------------------------- ------ ------ ------ ------ ----
0x85748030:csrss.exe 304 296 9 338 2022-02-23 18:09:03 UTC+0000
0x85b9bd40:wininit.exe 340 296 3 75 2022-02-23 18:09:03 UTC+0000
. 0x85cba2d8:lsass.exe 452 340 6 558 2022-02-23 18:09:04 UTC+0000
. 0x85cbc620:lsm.exe 468 340 9 141 2022-02-23 18:09:04 UTC+0000
. 0x85cac030:services.exe 444 340 7 196 2022-02-23 18:09:04 UTC+0000
.. 0x8430dc38:msiexec.exe 3820 444 6 305 2022-02-23 19:18:52 UTC+0000
.. 0x85aa6810:svchost.exe 1044 444 10 265 2022-02-24 03:09:09 UTC+0000
.. 0x84e3e4d0:taskhost.exe 772 444 8 208 2022-02-24 03:09:17 UTC+0000
.. 0x84c07030:svchost.exe 900 444 14 314 2022-02-24 03:09:08 UTC+0000
... 0x84c7ac88:dwm.exe 848 900 3 71 2022-02-24 03:09:17 UTC+0000
.. 0x85550718:svchost.exe 1692 444 6 94 2022-02-24 03:09:11 UTC+0000
.. 0x84c08800:svchost.exe 924 444 40 1256 2022-02-24 03:09:08 UTC+0000
... 0x8549b108:WMIADAP.exe 1152 924 5 86 2022-02-23 19:27:21 UTC+0000
.. 0x84cd8410:svchost.exe 1068 444 19 490 2022-02-24 03:09:09 UTC+0000
.. 0x85f9b030:spoolsv.exe 1340 444 12 293 2022-02-24 03:09:10 UTC+0000
.. 0x85f2bc08:svchost.exe 576 444 9 353 2022-02-23 18:09:04 UTC+0000
... 0x84283830:WmiPrvSE.exe 3072 576 8 115 2022-02-23 19:27:21 UTC+0000
.. 0x84dde0b0:svchost.exe 1724 444 9 311 2022-02-24 03:11:11 UTC+0000
.. 0x85fc0030:svchost.exe 1868 444 11 144 2022-02-24 03:11:11 UTC+0000
.. 0x84c8d030:svchost.exe 972 444 19 450 2022-02-24 03:09:08 UTC+0000
... 0x84cc6030:audiodg.exe 1004 972 4 121 2022-02-24 03:09:08 UTC+0000
.. 0x8545d368:armsvc.exe 2660 444 6 244 2022-02-23 19:19:17 UTC+0000
... 0x84356ca8:AdobeARMHelper 2484 2660 0 ------ 2022-02-23 19:20:53 UTC+0000
.. 0x854f3668:sppsvc.exe 860 444 4 147 2022-02-24 03:09:07 UTC+0000
.. 0x85fe0030:svchost.exe 1380 444 19 315 2022-02-24 03:09:10 UTC+0000
.. 0x84d04d40:TrustedInstall 1180 444 6 261 2022-02-24 03:09:10 UTC+0000
.. 0x842a3168:SearchIndexer. 3268 444 11 522 2022-02-23 19:19:24 UTC+0000
.. 0x85f3d030:svchost.exe 636 444 7 250 2022-02-23 18:09:05 UTC+0000
0x84c7f9d8:explorer.exe 880 756 32 881 2022-02-24 03:09:17 UTC+0000
. 0x84f3cd40:RH-Appli-Conne 3540 880 1 20 2022-02-23 19:27:54 UTC+0000
. 0x84f7e630:notepad.exe 3232 880 1 63 2022-02-23 19:27:43 UTC+0000
. 0x842ef7e0:RH-Appli-Conne 3504 880 5 99 2022-02-23 19:28:06 UTC+0000
.. 0x84da8938:cmd.exe 2404 3504 0 ------ 2022-02-23 19:28:10 UTC+0000
. 0x843485b0:RH-Appli-Conne 1668 880 3 94 2022-02-23 19:25:07 UTC+0000
.. 0x84273030:cmd.exe 1472 1668 0 ------ 2022-02-23 19:25:24 UTC+0000
. 0x84e79508:regsvr32.exe 1864 880 0 ------ 2022-02-24 03:10:06 UTC+0000
. 0x86081218:notepad.exe 3732 880 1 63 2022-02-23 19:27:46 UTC+0000
. 0x84e17570:RH-Appli-Conne 3936 880 1 36 2022-02-23 19:24:45 UTC+0000
0x84133270:System 4 0 77 511 2022-02-23 18:09:02 UTC+0000
. 0x854f4020:smss.exe 224 4 2 29 2022-02-23 18:09:02 UTC+0000
0x85c23d40:winlogon.exe 392 332 5 130 2022-02-23 18:09:04 UTC+0000
0x85b9c578:csrss.exe 352 332 9 209 2022-02-23 18:09:03 UTC+0000
0x85ee3d40:firefox.exe 2360 816 0 ------ 2022-02-23 19:24:17 UTC+0000
D'après l'énoncé du challenge, on suppose que le mail est un phishing et que l'application que l'employé a téléchargé ne porte pas un nom barbare (pour mieux le tromper).
L'exe "RH-Appli-Conne" semble être le bon candidat !
. 0x84f3cd40:RH-Appli-Conne 3540 880 1 20 2022-02-23 19:27:54 UTC+0000
. 0x842ef7e0:RH-Appli-Conne 3504 880 5 99 2022-02-23 19:28:06 UTC+0000
. 0x843485b0:RH-Appli-Conne 1668 880 3 94 2022-02-23 19:25:07 UTC+0000
. 0x84e17570:RH-Appli-Conne 3936 880 1 36 2022-02-23 19:24:45 UTC+0000
On remarque que l'application se connecte vers l'adresse ip 146.59.156.82 sur le port 1337.
python volatility/vol.py -f memory.dmp --profile=Win7SP1x86_23418 netscan |grep RH
Offset(P) Proto Local Address Foreign Address State Pid Owner Created
0x3e1d15e8 TCPv4 192.168.80.131:49636 146.59.156.82:1337 ESTABLISHED 3936 RH-Appli-Conne
0x3e491b48 TCPv4 192.168.80.131:49637 146.59.156.82:1337 ESTABLISHED 1668 RH-Appli-Conne
0x3f09edf8 TCPv4 192.168.80.131:49644 146.59.156.82:1337 ESTABLISHED 3540 RH-Appli-Conne
0x3fcaf2a0 TCPv4 192.168.80.131:49645 146.59.156.82:1337 ESTABLISHED 3504 RH-Appli-Conne
Nous avons donc :
BZHCTF{malveillant.exe-146.59.156.82:1337}
Pour obtenir notre flag complet, il nous manque le nom complet de l'application.
Le plugin filescan nous permet de le récupérer.
python volatility/vol.py -f memory.dmp --profile=Win7SP1x86_23418 filescan |grep -i RH
0x000000003f028378 3 0 R--r-d \Device\HarddiskVolume1\Users\Daniel\Downloads\RH-Appli-Connect.exe
BZHCTF{RH-Appli-Connect.exe-146.59.156.82:1337}
Pour aller plus loin on pouvait extraire l’exécutable malveillant et l'analyser sur une plateforme telle que Virustotal.
python volatility/vol.py -f memory.dmp --profile=Win7SP1x86_23418 procdump -p 3936 -D output/
Process(V) ImageBase Name Result
---------- ---------- -------------------- ------
0x84e17570 0x00400000 RH-Appli-Conne OK: executable.3936.exe
file output/executable.3936.exe
output/executable.3936.exe: PE32 executable (GUI) Intel 80386, for MS Windows
sha256sum output/executable.3936.exe
e23d26169560c4fe1bf966d339d9996d4395ae3b0a696eed181240fedd28c1ee output/executable.3936.exe
Son hash n'était pas connu de la base de connaissance mais plusieurs antivirus le détecte comme un Meterpreter.
Résultat Virus Total
Dernière mise à jour 1yr ago