Memory Forensic - Tổng hợp

# Write up tổng hợp ## Tryhackme - memory forensics ![image](https://hackmd.io/_uploads/H1ll9W89T.png) **Task 2: What is John's password?** Đầu tiên mình dùng vol3 để dump hash ( SAM + SYSTEM) ![image](https://hackmd.io/_uploads/S1PrcWIc6.png) user mình cần quan tâm là john nên mình chỉ lấy hash của user đó : ```47fbd6536d7868c873d5ea455f2fc0c9``` Và sau đó crack password bằng john : ![image](https://hackmd.io/_uploads/BkWPsbLcp.png) ```-> charmander999``` **Task 3: When was the machine last shutdown?** Đến câu này thì mình nghĩ dùng vol2 sẽ tiện hơn vì có command sẵn, đầu tiên mình dùng plugin ```imageinfo``` để biết profile, sau đó dùng ```shutdowntime``` để trả lời câu hỏi phía trên ![image](https://hackmd.io/_uploads/S1Yj5GI9p.png) ```-> 2020-12-27 22:50:12``` **What did John write?** Để xem john đã viết những gì thì mình sẽ xem lịch sử commandline bằng plugin ```cmdscan``` : ![image](https://hackmd.io/_uploads/HJY3TMLq6.png) ```-> You_found_me``` **Task4 : What is the TrueCrypt passphrase?** Với câu này thì trong vol2 có sẵn plugin ```truecryptpassphrase``` ![image](https://hackmd.io/_uploads/By9wyXUcp.png) ```-> forgetmenot``` ## Root me - Command & Control - level 2 ![image](https://hackmd.io/_uploads/ryEKV159T.png) Hostname có thể được tìm thông qua biến môi trường ```COMPUTERNAME```, và biến này luôn có mặt ở trong vùng nhớ của các process đang chạy nên khi có file memory dump thì mình có strings và grep 'COMPUTERNAME' để lấy hostname. Bên cạnh đó thì nó cũng được lưu trong registry với path là ``` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName```. Dưới đây là các bước tìm hostname thông qua registry. ``` + Dùng plugin imageinfo để tìm profile + Tìm các hive thông qua plugin 'hivelist' để xác định được địa chỉ của `SYSTEM` - nơi lưu thông tin về hostname + Với địa chỉ tìm được thì mình in ra giá trị ở ControlSet001\Control\ComputerName\ComputerName ``` ![image](https://hackmd.io/_uploads/S1csHJq96.png) ![image](https://hackmd.io/_uploads/Hy0nS15cp.png) ```-> WIN-ETSA91RKCFP``` ## Root me - Command & Control - level 3 ![image](https://hackmd.io/_uploads/By03_w9qp.png) Mình xem thử pstree thì thấy rằng ```iexplorer.exe``` có một process con là ```cmd.exe```, đây là điểm đáng nghi vì internet explorer thường sẽ không có process con là cmd. ![image](https://hackmd.io/_uploads/ry5cSrs9T.png) Để chắc chắc hơn thì mình tải [autoruns](https://github.com/tomchop/volatility-autoruns) và dùng command này ```python2 vol.py --plugins=volatility-autoruns/ --profile=Win7SP1x86 -f ch2.dmp autoruns Volatility Foundation Volatility Framework 2.6``` thì thấy rằng : ![image](https://hackmd.io/_uploads/SkX9KP95p.png) Cái ```iexplorer.exe``` đáng lẽ ra nó phải nằm ở ```C:\Program Files\Internet Explorer\iexplore.exe```, nếu như không nằm ở đấy thì có thể khẳng định rằng nó là malware. Và đoạn ```C:\Users\John Doe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iexplore.exe``` chính là câu lệnh thực thi malware đó. ![image](https://hackmd.io/_uploads/ByBjcDqcp.png) ```->49979149632639432397b3a1df8cb43d``` ## Root Me - Command & Control - level 4 ![image](https://hackmd.io/_uploads/rkmJ9Si5p.png) Từ câu phía trên mình đã xác định được ```cmd.exe``` với process là 1616 chính là process con của một process độc hại. Vậy nên mình sẽ bắt đầu tìm kiếm những command được dùng bởi process này . Đầu tiên mình dùng plugin ```cmdscan``` và ```consoles``` và với plugin ```consoles``` thì mình tìm được thông tin dưới đây : ![image](https://hackmd.io/_uploads/r1EUnHocp.png) Cái mình cần chú ý ở đây là ```tcprelay.exe```, mình đoán là nó có liên quan tới câu hỏi của đề bài và ở đây mình cần tìm thêm nhưng tham số mà attacker dùng khi thực thi ```tcprelay.exe```, và cách nhanh nhất chính là strings và grep =)) ![image](https://hackmd.io/_uploads/Hkrsy8o96.png) Có thể thấy dòng ```tcprelay.exe 192.168.0.22 3389 yourcsecret.co.tv 443 ``` xuất hiện khá nhiều lần, tới đây thì mình cũng hiểu sơ sơ là tcprelay được dùng để thiết lập port forwarding, từ đó thực hiện mở một kết nối an toàn (HTTPS) tới máy chủ từ xa có ip là ```192.168.0.22``` và port là ```3389``` thông qua Remote Desktop Protocol (RDP). ```->192.168.0.22:3389``` ## Root me - Command & Control - level 5 ![image](https://hackmd.io/_uploads/Hk_Jw8i5p.png) Bài này tương tự như bài tryhackme ở trên nên mình chỉ tóm tắt các bước làm lại : ![image](https://hackmd.io/_uploads/S1ESD8s5a.png) ![image](https://hackmd.io/_uploads/Bk8LwLiqa.png) ```-> passw0rd``` ## Root me - Command & Control - level 6 ![image](https://hackmd.io/_uploads/HJ-2CqnqT.png) Vì mình đã biết được iexplorer.exe là process độc hại nên để tìm được ```infected hosts``` thì mình sẽ dump process đó ra và up lên mấy cái tool phân tích online để nó phân tích. Dùng command ``` python2 vol.py -f ch2.dmp --profile=Win7SP1x86 procdump --pid=2772 --dump-dir=.``` để dump process. ![image](https://hackmd.io/_uploads/Sk_xls25p.png) Sau đó up lên Virus total : ![image](https://hackmd.io/_uploads/ByjIgs2ca.png) Có rất nhiều domain nhưng với định dạng đề cho thì mình lọc ra được mấy cái sau : ``` furious.devilslife.com th1sis.l1k3aK3y.org whereare.sexy-serbian y0ug.itisjustluck.com ``` Tới đây thì mình thử từng cái một và đáp án đúng là ```-> th1sis.l1k3aK3y.org``` ## Viblo - Wdiguess ![image](https://hackmd.io/_uploads/rJ-Lr2nqa.png) Bài này cho mình file lsass.DMP , đây là file dump từ process lsass, file này chứa password, username, domain... được lưu trên máy, thông tin về process lsass mình có từng viết ở [đây](https://hackmd.io/@phgvee/SkKKK70ua). Đối với file này thì mình sẽ dùng mimikatz để phân tích : ![image](https://hackmd.io/_uploads/HycdU3hqT.png) ```-> Flag{Ls4s5_duMp3r_M4st3R}```