赞
踩
2022年某数据安全竞赛上的一道真题,今天刚好在课堂上听到老师讲起,刚好做个记录。
说到数据安全竞赛总让人联想到网络安全行业的CTF竞赛,两者的竞赛形式类似,采用线上或线下解密寻找flag的方式提交答案取得积分,但竞赛的方向却不一样,CTF着重的是攻击渗透,数据安全竞赛则更像是特定场景下的应急响应。下面这个题目包含了五个小题,且随我来看看吧!
题目为一个压缩包,共146个文件,包含了三种类型的文件:
1、144个*.evtx 操作系统日志文件
2、1个Logfile.PML(process monitor导出的进程监视记录,存储了目标计算机的内存中活动进程镜像)
3、1个log1.pcap(目标计算机的流量抓包)
第一题:
先从题目中提取几个关键字:
1、未被隔离的机器上进行远程登陆
2、6月27号的晚上
从题目得可以得知6月27日之前的日志可以忽略不用关注,排除一大批干扰项,根据题目要求要提交操作异常的用户名字,所以重点需要关注Security.evtx日志中的登陆记录,从中找到异常的登陆用户名。
使用elex.exe打开Security.evtx日志,并进行一波筛选:
条件1:4624(windows登陆成功的事件ID)
条件2:登录类型: 10 (注意,登陆类型10要从elex中复制正确的格式,10代表从远程桌面或远程协助访问计算机时的记录类型)
筛选后发现登陆成功的事件过多29条,无法准确定位异常用户。
所以需要反向操作,查找未成功登陆的事件。
未成功登陆事件ID是4625,筛选前需要删除掉之前输入在Text in description中的”登陆类型 10“。
经过筛选发现了6月27日夜间22:13同一秒内大量的用户名为ming的登陆类型为3(常对应暴力破解,常在日志中批量见到此类型)的RDP暴力破解痕迹,由此可以判断异常用户为ming,但需要进一步佐证ming这个用户是否登陆成功了。
ming是否暴破成功了?需要再次进行筛选,筛选出登陆成功的日志,并着重观察最后一次暴破时间节点附近的记录:
条件1:4624(登陆成功)
条件2:登陆类型10(通过远程桌面登陆成功)
筛选后发现ming这个用户登陆成功了:
至此第一题的答案找到了:Ming
第二题:
第一题解决了,第二题的答案也在日志中有记录:
攻击者进来的IP地址是192.168.13.1端口3389(为什么不是日志里的源端口呢?这题目出题时出现了歧义,竞赛公告中进行了澄清可以多次提交,多次尝试用192.168.13.1:3389的md5值提交成功。)
第三题:
第三题需要对提权所使用的文件进行查找,需要使用process monitor对Logfile.PML文件进行分析寻找可疑的进程和提权使用的可执行文件,攻击在提权时大部分使用cmd.exe对提权程序进行调用,所以在PM(process monitor)中对内存中的cmd.exe进行过滤筛选。
点击filter创建过滤器,过滤c:\windows\system32\cmd.exe发现了大量winword.exe使用运行在cmd.exe下,这很可疑。
进一步添加过滤条件,只过滤WINWORD.EXE应用程序 。
通过在过滤界面ctrl+f搜索.doc发现了攻击者使用的账号ming的download目录运行了helper.doc
方法二
点击PM的tools——Process Tree...——寻找winword.exe发现了可疑之处,用word调用cmd运行了whoami
第三题答案即helper.doc,提交文件名md5得分。
第四题
在PM的进程树中发现可疑进程,首先它是由攻击者ming创建且运行在tmp临时目录,并在攻击者提权程序的子进程中运行,它就是yoWtVVigSCtVR.exe进行md5后提交得分。
技巧:可以观察绿色的小进度条(left time),发现该程序在winword运行后开始进入运行状态且一直未退出。
第五题
在进程树中发现多个excel进程(通常用于存放敏感文件)观察小绿条(left time)当提权程序(yoWtVVigSCtVR.exe)运行后,pid为4325的excel进程随即运行了一段时间,较为可疑,因为在PM中进行PID筛选,查看excel进程有没有对应可疑敏感文件。
增加过滤条件后(1),搜索.xls(2)发现了敏感文件(3)
提交文件名的md5值得分
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。