# Sysinternals
### Tools: FTK image,
### Q&A:
1. What was the malicious executable file name that the user downloaded?
- Theo như câu hỏi thì ta sẽ check trong phần Downloads của Users thì có 1 phần mềm nghi là mã độc.
=> Ans: SysInternals.exe
2. When was the last time the malicious executable file was modified? 12-hour format
- Đầu tiên ta sẽ export phần mềm nghi là mã độc sau đó check Properties thì thấy có time modifiled.
- Nhưng khi nhập thì lại không đúng flag và đề bài có ghi 12-hours format và giờ của mình đang là GTM+7. Để về giờ UTC thì phải lùi 7 tiếng.
=> Ans: 11/15/2022 09:18:51 PM
3. What is the SHA1 hash value of the malware?
- Sau khi có tham khảo hint thì ta cần phải export file Amcache.hve và dùng tools [Amcache](https://github.com/EricZimmerman/AmcacheParser).
- Sau khi parse file Amcache.hve và phân tích các file, trong file Amcache_UnassociatedFileEntries.csv có tên malware
=> Ans: fa1002b02fc5551e075ec44bb4ff9cc13d563dcf
4. What is the malware's family?
- Search SHA1 trên virustotal ta sẽ thấy tên malware's family.
=> Ans: Rozena
5. What is the first mapped domain's Fully Qualified Domain Name (FQDN)?
- Tiếp tục search trên virustotal.
=> Ans: www.malware403.com
6. The mapped domain is linked to an IP address. What is that IP address?
- Check trong virustotal thì ta không thấy địa chỉ ip nào liên kết với tên miền vừa tìm được. Sau khi tham khảo hint thì đã tìm thấy được địa chỉ IP trong file ConsoleHost_history.txt trong path Users\IEUser\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
=> Ans: 192.168.15.10
7. What is the name of the executable dropped by the first-stage executable?
- Sau khi tìm kiếm trên virustotal trong phần Process có một file .exe được thực thi đầu tiên.
=> Ans: vmtoolsIO.exe
8. What is the name of the service installed by 2nd stage executable?
- Theo như thông tin ở câu 7 thì ta sẽ thấy tên của service được install và net start.
=> Ans: VMwareIOHelperService
9. What is the extension of files deleted by the 2nd stage executable?
- Check file các log đã bị delete ta thấy các file .pf đều bị xóa. Hành vi của mã độc này là xóa bỏ các file prefetch.
=> Ans: pf
# KrakenKeylogger
### Tools: DB Browser, LECmd, Timeline Explorer
1. What is the the web messaging app the employee used to talk to the attacker?
- Sau khi tìm kiếm trên Google: https://forensafe.com/blogs/winnotifications.html ta biết thông tin endpoint webapp được lưu vào database trong đường dẫn này.
- Sau đó ta dùng SQLite để mở file wpndatabase.db
=> Ans: Telegram
2. What is the password for the protected ZIP file sent by the attacker to the employee?
- Theo như câu 1
=> Ans: @1122d
3. What domain did the attacker use to download the second stage of the malware?
- Theo đề bài ta check trong phần download có 1 file zip và trong đó có 1 shortcut templet đáng nghi.
- Sau khi kiểm tra ta thấy đây là file .lnk, để đọc file .lnk ta dùng tool LECmd.
- Ta thấy có 1 đoạn có code http nhưng đã bị mã hóa. Sau khi decode ta có được domain
=> Ans: masherofmasters.cyou
4. What is the name of the command that the attacker injected using one of the installed LOLAPPS on the machine to achieve persistence?
- Kiểm tra trong appdata/roaming có app greenshot để capture lại configuration file. Sau khi tìm kiếm với lệnh command theo đề bài ta thấy 1 đường dẫn của file giống như câu 3 cà trước đó là Argument là lệnh mà nghi attcker đã dùng
https://lolapps-project.github.io/
=> Ans: jlhgfjhdflghjhuhuh
5. What is the complete path of the malicious file that the attacker used to achieve persistence?
- Như câu 4 ta có được đường dẫn mã độc.
=> Ans: C:\Users\OMEN\AppData\Local\Temp\templet.lnk
6. What is the name of the application the attacker utilized for data exfiltration?
- Ta thấy trong phần appdata/roaming có phần mềm anydesk có thể kết nối các endpoint nên đây là phần mềm mà attacker dùng để lấy dữ liệu.
=> Ans: Anydesk
7. What is the IP address of the attacker?
- Để kiểm tra các IP kết nối ta thấy trong detail có gợi ý dùng tool Timeline Explore để xem file ad.trace trong anydesk và ta thấy 1 địa chỉ IP bên ngoài kết nối.
=> Ans: 77.232.122.31
# LGDroid
1. What is the email address of Zoe Washburne?
- Để kiểm tra địa chỉ email, ta kiểm tra hết các thư mục 1 lượt thấy có file contacts3.db trong Agent Data.
- Dùng tool DB Sqlite để mở và đọc ta thấy có email.
=> Ans: zoewash@0x42.null
2. What was the device time in UTC at the time of acquisition? (hh:mm:ss)
- Kiểm tra trong Live Data có time device theo UTC
=> Ans: 18:17:56
3. What time was Tor Browser downloaded in UTC? (hh:mm:ss)
- Tiếp tục sử dụng DB mở file downloads.db trong bảng download ta thấy có thông tin url file download nhưng không có thời gian.
- Sau khi check hint thì phần lastmod dưới dạng unix time epoch sau đó đổi ra time UTC.
=> Ans: 19:42:26
4. What time did the phone charge to 100% after the last reset? (hh:mm:ss)
- Kiểm tra các file về phone charge ta thấy có file betterystats.txt trong Live Data\Dumpsys Data.
- Ta thấy lần cuối cùng reset time 13:12:19 ở 99%, nhưng đề bài hỏi time 100%
- Công với time 100% ta được thời gian cuối cùng sau khi reset.
=> Ans: 13:17:20
5. What is the password for the most recently connected WIFI access point?
- Sau khi tham khảo hint thì ta biết được nơi lưu trữ password connect Wifi ở file đường dẫn adb-data.tar\apps\com.android.providers.settings\k\com.android.providers.settings.data
=> Ans: ThinkingForest!
6. What app was the user focused on at 2021-05-20 14:13:27?
- Kiểm tra file usage trong Live Data để xem app người dùng đã sử dụng.
- Filter theo time ta được app người dùng đã sử dụng là youtube.
=> Ans: youtube
7. How much time did the suspect watch Youtube on 2021-05-20? (hh:mm:ss)
- Filter youtube trong ngày 20-05-2021 ta thấy có đến thời gian 22:27:57 youtube đã Move_To_BackGround chính là thời gian kết thúc youtube.
- Sau đó tính khoảng thời gian đã sử dụng youtube.
=> Ans: 08:34:30
8. "suspicious.jpg: What is the structural similarity metric for this image compared to a visually similar image taken with the mobile phone? (#.##).
- Sau khi tham khảo hint ta tìm kiếm trong path sdcard.tar.gz\sdcard\DCIM\Camera có 1 bức ảnh khá giống với ảnh được lưu ở bên ngoài. 20210429_151535.jpg
- Tham khảo hint thì ta biết được so sánh 2 ảnh là so sánh chỉ số SSIM, là chỉ số so sánh giữa 2 ảnh. Ta dùng tool [SSIM](https://darosh.github.io/image-ms-ssim-js/test/browser_test.html)
=> Ans: 0.99
# BlackEngerny
1. Which volatility profile would be best for this machine?
- Dùng lệnh imageinfor để xem thông tin của file .rar
=> Ans: WinXPSP2x86
2. How many processes were running when the image was acquired?
- Sử dụng lệnh pslist của vol2 để xem các tiến trình đang chạy.
=> Ans: 19
3. What is the process ID of cmd.exe?
- Từ câu trên ta có thể thấy PID của process cmd.exe
=> Ans: 1960
4. What is the name of the most suspicious process?
- Trong các tiến trình rootkit.exe là tiến trình khả nghỉ nhất vì nó thường là phần mềm do attacker tải vào để che giấu tồn tại của các phần mềm mã độc khác.
=> Ans: rootkit.exe
5. Which process shows the highest likelihood of code injection?
- Để kiểm tra xem tiến trình nào đã bị code inject ta dùng lệnh malfind để tìm.
- Ta thấy có tiến trình svchost.exe bị chèn MZ trong Hex, ta nghi đây là tiến trình đã bị inject.
=> Ans: svchost.exe
6. There is an odd file referenced in the recent process. Provide the full path of that file.
- Để tìm kiếm file có đường dẫn lạ ta dùng lệnh handle, filescan, kiểm tra dll.
- Có khá nhiều các handle khác nhau từ câu 5 process bị inject code có PID 880, filter theo PID.
=> Ans: C:\WINDOWS\system32\drivers\str.sys
7. What is the name of the injected dll file loaded from the recent process?
=> Ans: msxml3r.dll
8. What is the base address of the injected dll?
=> Ans: 0x980000
Sign in with Wallet
Connect another wallet