iT邦幫忙

2025 iThome 鐵人賽

DAY 6
0
Security

我一個大調查下去:從零開始的數位鑑識系列 第 6

【Day 06】Disk Forensics 01:內鬼現形記 - Insider Lab

  • 分享至 

  • xImage
  •  

前言

終於到了分析環節啦,今天要練習的是 Cyber Defender 的 Insider Lab,這題的分類是 這題的分類是 Endpoint Forensics,難度為 easy。
先簡單介紹一下 Cyber Defenders 的 Lab,按 Download Lab Files 下載本題檔案,Questions 是回答問題的地方。
https://ithelp.ithome.com.tw/upload/images/20250825/20177998E8B8pApO69.png

Insider

情境

Karen 開始為「TAAUSAI」工作後,開始在公司內部從事非法活動。「TAAUSAI」聘請你擔任系統分析師,負責調查此案。 你取得了一份磁碟映像,發現 Karen 的電腦使用的是 Linux 作業系統。請分析 Karen 電腦的磁碟映像,並回答提供的問題。

工具

今天用到的工具:FTK Imager

Q1:這台機器使用什麼 Linux 發行版?

解壓縮題目檔案後應該會看到 .ad1, AD1 的檔案結構不是標準的檔案系統,而是一種由 AccessData 公司設計的容器格式,要存取 AD1 檔案需要使用支援該格式的鑑識軟體才能存取檔案系統。 最常見的存取工具之一就是 FTK Imager,這個我們昨天就安裝過了。
打開 FTK Imager,左上角 File -> Add Evidence Item
https://ithelp.ithome.com.tw/upload/images/20250825/20177998JCYgEOIsxK.png
選 Image File
https://ithelp.ithome.com.tw/upload/images/20250825/20177998LqI9bcY3PS.png
打開題目給的 .ad1
https://ithelp.ithome.com.tw/upload/images/20250825/201779982IsST9qtuV.png
這樣就能存取檔案系統了
接著回到第一題,找出它的 Linux 發行版
映像檔中沒有 /etc (一般包含發行版資訊),但仍有 /boot,也包含了發行版的資訊,Linux 開機所需的 kernel (vmlinuz) 和相關檔案的名字通常會有發行版的線索。
https://ithelp.ithome.com.tw/upload/images/20250825/20177998WtQ7qVFJrj.png
上圖是/boot的截圖,很明確地可以知道發行版為kali
Ans:kali

Q2:Apache access.log的 MD5 雜湊值是多少?

我們在 /var/log/apache2 下能找到 access.log
https://ithelp.ithome.com.tw/upload/images/20250825/20177998pL6BTHDrzg.png
右鍵選擇 Export File Hash List
https://ithelp.ithome.com.tw/upload/images/20250825/20177998PrdIOHQ2vD.png
Ans:d41d8cd98f00b204e9800998ecf8427e

Q3:我們懷疑他下載了憑證轉儲工具(credential dumping tool),檔案名稱是什麼?

我們直接到 /Download 中尋找,下載的檔案預設存在這裡。
https://ithelp.ithome.com.tw/upload/images/20250825/20177998Z7MuhKhEPa.png
Mimikatz 是一款功能強大的開源資安工具,主要用於提取 Windows 系統中的憑證,最初是用來測試 Windows 的安全性,但因其強大的功能,它也常被攻擊者濫用。
Ans:mimikatz_trunk.zip

Q4:有一個絕密檔案被創建了,它的檔案路徑是什麼?

要查看這台電腦上輸入了什麼指令(ex:創建檔案),我們要看 .bash_history ,.bash_history 會紀錄命令列參數,可以說是命令列歷史紀錄
https://ithelp.ithome.com.tw/upload/images/20250825/20177998QDrC0LYnzV.png
這個指令的作用是創建一個空檔案。雖然語法看起來像重導向,但實際上 touch 指令本身就會創建 /root/Desktop/SuperSecretFile.txt 這個空檔案。
Ans:/root/Desktop/SuperSecretFile.txt

Q5:哪個程式在執行過程中使用了檔案 didyouthinkwedmakeiteasy.jpg?

要執行程式需要輸入指令,輸入的指令能在 .bash_history 中看到。
Binwalk 是一個用於搜尋、分析和提取一個檔案中被嵌入的另一個檔案的工具,在數位鑑識中是一個常用的工具。
https://ithelp.ithome.com.tw/upload/images/20250825/20177998s9BWajHc3d.png
Ans:binwalk

Q6:Karen 創建的清單中的第三個目標是什麼?

在 /root/Desktop/ 下有一個叫 Checklist 的檔案
https://ithelp.ithome.com.tw/upload/images/20250825/20177998FgUeDFbN3B.png
Ans:profit

Q7:Apache 運行了幾次?

我們前面計算雜湊值的時候就有看到 access.log 的大小是 0,代表它是空的,我們在 .bash_history 中也沒有看到有清除 access.log 的指令,所以可以判斷 Apache 沒有運行過
https://ithelp.ithome.com.tw/upload/images/20250825/20177998goGPBqM3Mq.png
Ans:0

Q8:這台機器被用來攻擊另一台機器。哪一份文件包含這方面的證據?

我們在 root 目錄下看到一個奇怪名字的 jpg 。
https://ithelp.ithome.com.tw/upload/images/20250825/20177998qsdNEQ8L2a.png
途中可以看到攻擊者執行了一個程式,輸出顯示它實際上是 GitHub 上的 flightsim。
https://ithelp.ithome.com.tw/upload/images/20250825/201779982jgmuLp04d.png
看起來它原本是設計用來做安全審計的,不過被攻擊者濫用了
Ans:irZLAohL.jpeg

Q9:據信,Karen 當時正在透過 Documents 目錄中的 Bash 腳本嘲諷一位電腦專家。 Karen 嘲諷的專家是誰?

在 Document 目錄下可以找到這樣一個 script
https://ithelp.ithome.com.tw/upload/images/20250825/20177998kipTdi3QXX.png
Ans:Young

Q10:11:26時,哪名使用者多次執行 su 指令以取得 root 權限?

要知道這題的答案,我們要去看 auth.log , auth.log 用於記錄與驗證相關的事件,例如使用者登入、權限提升和 SSH 連線。auth.log一般在 /var/log 下
https://ithelp.ithome.com.tw/upload/images/20250825/201779983EXHOuWraL.png
可以看到在 11:26:22 的時候 postgres 多次獲得 root 權限。
Ans:postgres

Q11:根據 bash history,目前工作目錄是什麼?

在 bash_history 的最下面,有這樣一條指令 cd ../Documents/myfirsthack/ , ../ 代表回上一層,所以整條命令的意思是回上一層然後進到 /Documents/myfirsthack/ 之下,完整路徑為 /root/Documents/myfirsthack/ 。
https://ithelp.ithome.com.tw/upload/images/20250825/20177998nh5ZvwSpP0.png
Ans:/root/Documents/myfirsthack/

小結

今天完成了我們的第一個 Linux 磁碟映像分析,透過 Insider Lab 我們學到了 Linux 系統的鑑識路徑,/var/log/auth.log、.bash_history、/boot等等關鍵資訊的位置,它們是 Linux 鑑識中證據的核心來源。
我們今天還成功還原了內部攻擊者的攻擊脈絡,下載憑證竊取工具 、建立行動清單、執行網路攻擊工具 、嘲笑同事等等。
明天我們會透過 Ramnit Lab ,練習記憶體分析技術。


上一篇
【Day 05】不容忽視的線索:磁碟映像檔製作
下一篇
【Day 07】Memory Forensics 01:Chrome 面具下的惡意軟體 - Ramnit Lab
系列文
我一個大調查下去:從零開始的數位鑑識14
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言