---
# System prepended metadata

title: Sysinternals Lab

---

**Challenge**
https://cyberdefenders.org/blueteam-ctf-challenges/sysinternals/
https://cyberdefenders.org/walkthroughs/sysinternals/
**Solution**
**Q1. What was the malicious executable file name that the user downloaded?**

![image](https://hackmd.io/_uploads/SkNcr98uWl.png)
```
SysInternals.exe
```
**Q2. When was the last time the malicious executable file was modified?**

```
 November 15, 2022, 9:18:51 PM
```
# AmcacheParser
**Q3. What is the SHA1 hash value of the malware?**
Thông tin của `Sysinternal.exe` toàn là 0, có thể dữ liệu của nó đã bị xóa. 
![image](https://hackmd.io/_uploads/SJzKasI_Wg.png)
Nhưng chỉ cần nó đã được thực thi thì dữ liệu, đặc biệt là SHA1 hash được lưu lại trong Amcache.hve
![image](https://hackmd.io/_uploads/Bycmj5IdWx.png)
Dùng AmcacheParser để phân tích Amcache.hve
![image](https://hackmd.io/_uploads/Bk-4hqLObx.png)
![image](https://hackmd.io/_uploads/Hyiz6cIuZe.png)

**Q4. Based on the Alibaba vendor, what is the malware's family?**
![image](https://hackmd.io/_uploads/SJwhTc8Obl.png)
```
 Rozena
```
**Q5. What is the first mapped domain's Fully Qualified Domain Name (FQDN)?**
![image](https://hackmd.io/_uploads/Hyh8yjLu-e.png)
```
 http://www.malware430.com/html/VMwareUpdate.exe
```

**Q6. The mapped domain is linked to an IP address. What is that IP address?**

PowerShell thường bị attacker nhắm tới để thực thi những câu lệnh ngầm. PowerShell command history được lưu ở file `ConsoleHost_history.txt` nằm ở
```
C:\Users<username>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
```
![image](https://hackmd.io/_uploads/B1xlboLuZl.png)

Những lệnh này:
- disabling Windows Defender real-time monitoring
- tạo registry key để tránh Windows updates
- thay đổi system hosts file - dùng để map domain name với 1 IP address cụ thể.
    ```
    Add-Content -Path $env:windir\System32\drivers\etc\hosts -Value "`n192.168.15.10`twww.malware430.com" -Force
    Add-Content -Path $env:windir\System32\drivers\etc\hosts -Value "`n192.168.15.10`twww.sysinternals.com" -Force
    ```
    Thêm entry cho hosts file, redirecting request  www.malware430.com và www.sysinternals.com đến IP address `192.168.15.10`.
    Hành động này thường được attacker sử dụng để reroute truy cập hợp pháp đến malicious server hoặc ngăn người dùng truy cập vào các trang web chính thống.
    Qua đó malware đảm bảo rằng bất kỳ truy cập vào các domain này sẽ được chuyển hướng đến địa chỉ IP được chỉ định, cho phép attacker control communications, có thể để phát tán thêm payloads hoặc exfiltrate data.

**Q7. What is the name of the executable dropped by the first-stage executable?**

![image](https://hackmd.io/_uploads/BkoNGoUdWl.png)
```
C:\Windows\System32\cmd.exe" /C c:\Windows\vmtoolsIO.exe -install && net start VMwareIOHelperService && sc config VMwareIOHelperService start= auto
```
Tải về `vmtoolsIO.exe`
**Q8. What is the name of the service installed by 2nd-stage executable?**
`
MwareIOHelperService
`