# WRITEUP FOR CYBERDEFENDERS ENDPOINT FORENSICS CHALLENGE
*-By: nhoktiger12-*
-Hôm nay mình vô check xem có lab nào mới k thì phát hiện mới update thêm lab này, ok đấm thôi ae !!
***RAMNIT BLUE TEAM LAB***
**file:https://download.cyberdefenders.org/BlueYard/c159-Ramnit.zip**
**pass: cyberdefenders.org**
-Bài này ở tag Easy nên cũng k quá ngốn time với mình, bắt đầu thôi, bài này mình dùng volatility 3 nhé.
*Q1: We need to identify the process responsible for this suspicious behavior. What is the name of the suspicious process?*
Mình dùng lệnh pstree để xem dòng họ của tất cả process đang chạy:
```
python3 vol.py -f memory.dmp windows.pstree
```
-Xuất ra được 1 loạt process như sau:
-Ở PID 4628 mình thấy có 1 process lạ đang hoạt động với tên **ChromeSetup.exe**
***Ans: ChromeSetup.exe***
*Q2: To eradicate the malware, what is the exact file path of the process executable?*
-Với câu hỏi này mình dùng lệnh filescan để tìm path của nó:
```
python3 vol.py -f memory.dmp windows.filescan | grep "ChromeSetup.exe"
```
***Ans: C:\Users\alex\Downloads\ChromeSetup.exe***
*Q3: Identifying network connections is crucial for understanding the malware's communication strategy. What is the IP address it attempted to connect to?*
-Đối với câu hỏi này, mình dùng lệnh netscan để phân tích các kết nối mạng trong bộ nhớ
```
python3 vol.py -f memory.dmp windows.netscan | grep "4628"
```
-Kết quả: 
*P/S: do k biết câu lệnh trích xuất PID nên mình dùng tạm lệnh grep xD*
***Ans: 58.64.204.181***
*Q4: To pinpoint the geographical origin of the attack, which city is associated with the IP address the malware communicated with?*
-Dựa vào ip vừa tìm ra ở Q3, mình lên https://www.abuseipdb.com/ để check ip
***Ans: Hong Kong***
*Q5: Hashes provide a unique identifier for files, aiding in detecting similar threats across machines. What is the SHA1 hash of the malware's executable?*
-Bài này lúc đầu mình hơi khờ, mình lên VirusTotal nhập thử IP tìm được lúc nãy vào xem có ra gì k: 
-Woah có 1 communicating file tên ChromeSetup.exe, check it out thôi: 
-Malware à, xem details thôi nào:
-Mình tìm ra được đoạn SHA1 hash: 89fc81132dd8baa00641452259a7c20695e0b192 nhưng hoá ra không phải, sau một hồi ngẫm nghĩ thì mình nhận ra hash này là hash của file chứ k phải hash của malware :D
-Đi xuất file ra kiểm tra thôi:`
```
mkdir extracted
python3 vol.py -f memory.dmp -o extracted windows.dumpfiles --pid 4628
```
-Sau khi dumpfile:
Check hash thôi:
```
sha1sum 0xca82b85325a0.0xca82b83c7770.DataSectionObject.ChromeSetup.exe-1.dat
```
***Ans: b9921cc2bfe3b43e457cdbc7d82b849c66f119cb***
*Q6: Understanding the malware's development timeline can offer insights into its deployment. What is the compilation timestamp of the malware?*
-Quăng file lúc nãy lên VirusTotal thôi nào:
-Ta thấy có Creation Time: "2019-12-01 08:36:04 UTC"
***Ans: 2019-12-01 08:36:04 UTC***
*Q7: dentifying domains involved with this malware helps in blocking future malicious communications and identifying current possible communications with that domain in our network. Can you provide the domain related to the malware?*
-Tiếp tục check VirusTotal thôi:
-Ở mục connected domain ta thấy có: ~~dnsnb8.net~~
***Ans: dnsnb8.net***
**Cảm ơn mọi người đã đọc tới đây, chúc cả nhà nhiều sức khoẻ nhe <3**
Sign in with Wallet
Connect another wallet