iT邦幫忙

2025 iThome 鐵人賽

DAY 8
2
Security

我一個大調查下去:從零開始的數位鑑識系列 第 8

【Day 08】Memory Forensics 02:VPN隧道下的隱形攻擊者 - RedLine Lab

  • 分享至 

  • xImage
  •  

前言

今天一樣是分析 memory dump,Cyber Defenders 的 RedLine Lab,這題的分類是 Endpoint Forensics,難度為 easy。

RedLine

情境

身為 Security Blue 團隊的一員,你的任務是使用 RedLine 和 Volatility 工具分析記憶體轉儲。你的目標是追蹤攻擊者在受感染機器上執行的步驟,並確定他們是如何繞過網路入侵偵測系統 (NIDS) 的。你的調查將識別攻擊中使用的特定惡意軟體家族及其特徵。此外,你的任務是辨識並消除攻擊者留下的任何痕跡或痕跡。

工具

volatility 3

Q1:可疑進程的名稱是什麼?

透過 pslist、cmdline 和 netstat 都沒有得到什麼線索,用 malfind 後發現可疑進程
malfind 會掃描記憶體中所有進程,尋找具有可疑屬性的記憶體區域

vol -f MemoryDump.mem windows.malfind

輸出中另外兩個都是系統進程,只有這個不是系統進程且擁有執行+讀+寫的權限,非常可疑
https://ithelp.ithome.com.tw/upload/images/20250827/20177998EnnL6QcgyH.png
把他 dump 出來丟到 VirusTotal 上看看
https://ithelp.ithome.com.tw/upload/images/20250827/201779988efUBEuP39.png
可以看到 oneetx.exe 是惡意軟體
Ans:oneetx.exe

Q2:可疑進程的子進程名稱是?

要查看進程的父子關係要使用 pstree,pstree 會以樹狀結構列出所有正在執行的進程

vol -f MemoryDump.mem windows.pstree

https://ithelp.ithome.com.tw/upload/images/20250827/20177998A2yYVvMs83.png
pstree 以縮排方式顯示進程的父子關係:沒有縮排是根進程、一層縮排是第一層子進程、兩層縮排是第二層子進程。 我們這裡可以看到 oneetx.exe 的子進程是 rundll32.exe。
Ans:rundll32.exe

Q3:對可疑進程記憶體區域所應用的記憶體保護是什麼?

什麼是記憶體保護? 簡單來說,它就像為每個程式的記憶體畫上界線,並規定這塊區域能做什麼 (ex:只能讀取、只能執行,或可以讀寫)。如果存取行為違反了保護規則,作業系統會終止這個違規的進程。
剛剛 malfind 的輸出就有看到他的記憶體保護。
Ans:PAGE_EXECUTE_READWRITE

Q4:負責 VPN 連線的進程名稱是什麼?

https://ithelp.ithome.com.tw/upload/images/20250827/20177998zZaovIFjJi.png
pstree 輸出中有一個 tun2socks.exe 名字一看就跟 VPN 有關。VPN 用隧道技術來做兩端的連線,而 tun (tunnel) 暗示隧道,SOCKS 是一種網路代理協定,所以 tun2socks.exe 很可能負責 VPN 連線。Google 搜尋 tun2socks.exe。
https://ithelp.ithome.com.tw/upload/images/20250827/201779982X22yOJ6b0.png
搜到它是某些 VPN 的核心元件,其中就包含 tun2socks.exe 的父進程 Outline。
Ans:Outline.exe

Q5:攻擊者的 IP 位址是什麼?

netstat 並沒有顯示可疑連線。netstat 只會顯示一般網路連線,所以用 netscan 插件,netscan 插件會尋找隱藏的網路連線。
https://ithelp.ithome.com.tw/upload/images/20250827/20177998LDJNCQHYCM.png
輸出中我們先前找到的惡意程式有一個對外連線,這很可能就是攻擊者的 C2 server。
Ans:77.91.124.20

Q6:攻擊者造訪的 PHP 檔案的完整 URL 是什麼?

嘗試 strings (提取人類可讀資訊的工具) 整個 memory dump 並且用 grep (搜尋符合特定模式的文字行) 搜尋攻擊者的 IP 來找相關的線索。

strings MemoryDump.mem | grep 77.91.124.20

https://ithelp.ithome.com.tw/upload/images/20250827/20177998YKjja0iSWd.png
Ans:http://77.91.124.20/store/games/index.php

Q7:惡意可執行檔的完整路徑是什麼?

在 pstree 的輸出可以看到完整路徑 \Device\HarddiskVolume3\Users\Tammam\AppData\Local\Temp\c3912a ,前面是硬碟名稱,又因為它在的目錄是 C 槽預設就有的目錄,所以可以判斷是 C 槽。
Ans:C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

小結

今天的 RedLine Lab 展現了現代惡意軟體逃避偵測的技術,並且讓我們學會使用新的 volatility 插件。首先透過 malfind 發現具有異常記憶體保護的程序,接著使用 netscan 發現了攻擊者隱藏 C2 通訊,最後透過識別 tun2socks 元件發現攻擊者使用 VPN Tunnel 技術來逃避 NIDS 的偵測。
明天我們將學習分析更複雜的攻擊場景。


上一篇
【Day 07】Memory Forensics 01:Chrome 面具下的惡意軟體 - Ramnit Lab
下一篇
【Day 09】Memory Forensics 03:PowerShell 偽裝下的多階段攻擊 - Reveal Lab
系列文
我一個大調查下去:從零開始的數位鑑識13
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言