iT邦幫忙

2025 iThome 鐵人賽

DAY 14
0
Security

我一個大調查下去:從零開始的數位鑑識系列 第 14

【Day 14】Disk Forensics 05:竄改自身的惡意程式- Sysinternals Lab

  • 分享至 

  • xImage
  •  

前言

今天要打的是 Sysinternals Lab,難度為 medium,分類是 Endpoint Forensics。

Sysinternals

情境

一位用戶以為他們正在下載 SysInternals 工具套件並嘗試開啟它,但該工具並未啟動並無法存取。此後,該用戶發現他們的系統速度逐漸變慢,反應速度也越來越慢。

工具

FTK Imager, AmCacheParser, Timeline Explorer

Q1:用戶下載的惡意可執行檔名是什麼?

在 Users\Public\Downloads 下有一個名叫 SysInternals.exe 的檔案,和題目情境說的工具套件同名,而題目情境是下載到惡意軟體的典型徵兆。
https://ithelp.ithome.com.tw/upload/images/20250902/20177998kc9gBOHg4q.png
Ans:SysInternals.exe

Q2:惡意可執行檔上次被修改是什麼時候?

在檔案後面就能看到最後修改時間
https://ithelp.ithome.com.tw/upload/images/20250902/20177998tIPH6Ef15c.png
Ans:2022-11-15 21:18

Q3:該惡意軟體的 SHA1 雜湊值是多少?

在 FTK Imager 下面的16進位瀏覽器可以看到全部都是 0,沒有 header 也沒有實際資料。這代表檔案被修改過,並不是他本來的內容,現在對這個檔案計算的雜湊值並不是他原本的雜湊值。
https://ithelp.ithome.com.tw/upload/images/20250902/201779980XC6z9AucV.png
要如何取得它原本的 hash 呢?
AmCache 是一個 Windows registry hive,記錄了在系統上執行過的可執行檔的元數據(metadata),包括檔案路徑、雜湊值等等,在檔案內容不可用或被更改時可為我們提供寶貴的資訊。
他的檔案路徑是 Windows\appcompat\Programs\Amcache.hve
有鑑於 wal 檔處理問題(明天才會做到),我這次直接把所有檔案都導出來
https://ithelp.ithome.com.tw/upload/images/20250902/20177998hLZjig5iGg.png

.\AmcacheParser.exe -f \Amcache.hve  --csv <output directory> --csvf amache.csv

-f 指定 Amcache.hve 路徑, --csv 指定輸出資料夾, --csvf 指定輸出檔案名稱
https://ithelp.ithome.com.tw/upload/images/20250902/20177998geU29hPkOr.png
接著用 Timeline Explorer,專門用於查看和分析 CSV 和 Excel 格式的時間線資料的工具。用 Timeline Explorer 把剛剛輸出的 csv 打開,搜尋 sysInternals
https://ithelp.ithome.com.tw/upload/images/20250902/201779981mFFkdjkzN.png
這就是他在執行時的雜湊值
Ans:fa1002b02fc5551e075ec44bb4ff9cc13d563dcf

Q4:根據 Alibaba vendor ,該惡意軟體屬於哪個家族?

把雜湊值丟到 virustotal
https://ithelp.ithome.com.tw/upload/images/20250902/20177998NsXDIv4bZq.png
可以看到它屬於 Rozena
Ans:Rozena

Q5:第一個被映射的網域,其完全合格網域名稱 (FQDN) 是什麼?

完全合格網域名稱其實就是指網域的完整名稱,包括主機名稱、子網域和頂級網域。
這裡是在問這個惡意軟體第一個去連線的網域
在 virustotal 的 relations 頁面可以看到惡意軟體的外部行為
https://ithelp.ithome.com.tw/upload/images/20250902/201779984R2a2HpybK.png
可以看到他第一個連線的完整網域名是 www.malware430.com
Ans:www.malware430.com

Q6:映射網域名稱已連結到 IP 位址。這個 IP 位址是什麼?

惡意軟體會透過修改網路配置將網域名稱映射到特定的 IP,來把網域名稱連結到 C2 Server 的 IP。我們想知道它到底把域名連結到哪個 IP 可以調查 PowerShell的歷史紀錄,因為惡意軟體常會使用 PowerShell來隱蔽地執行命令,透過調查它的歷史記錄,我們可以知道惡意軟體執行了甚麼指令,進而知道它將域名連到哪個 IP。
ConsoleHost_history.txt 儲存了 PowerShell 的歷史紀錄,他一般在 Users<user>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ 目錄下,而在這個案例中,使用者是 IEUser
Users\IEUser\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
https://ithelp.ithome.com.tw/upload/images/20250902/201779982dFUVjXH79.png
最重要的是這兩條命令

Add-Content -Path $env:windir\System32\drivers\etc\hosts -Value "`n192.168.15.10`twww.malware430.com" -Force
Add-Content -Path $env:windir\System32\drivers\etc\hosts -Value "`n192.168.15.10`twww.sysinternals.com" -Force

他新增兩條規則到 hosts 裡,把 www.malware430.comwww.sysinternals.com 都導到 192.168.15.10。
Ans:192.168.15.10

Q7:第一階段可執行檔釋放的可執行檔名稱是什麼?

剛剛 virustotal relations 頁面可以看到他第一個對外連線就是下載 vmtoolsIO.exe,在 virustotal behavior 頁面下的 Processes Created 也可以看到第一個創建的進程是他自己 SysInternals.exe ,下一個就是 vmtoolsIO.exe。
https://ithelp.ithome.com.tw/upload/images/20250902/20177998hVFUUFXqeR.png
Ans:vmtoolsIO.exe

Q8:第二階段可執行檔安裝的服務名稱是?

https://ithelp.ithome.com.tw/upload/images/20250902/201779980xuVg4gTxV.png
一樣看 virustotal behavior 頁面下的 Processes Created,他安裝並設定 VMwareIOHelperService 這個服務。
Ans:VMwareIOHelperService

總結

今天最重要的收穫就是學會了兩項關鍵的Windows 鑑識技術,第一個是調查 AmCache這個記錄著可執行檔資訊的 hive,讓惡意軟體就算刪除或竄改自身我們也能獲得它執行時的資訊。另一個是 PowerShell歷史紀錄,透過 ConsoleHost_history.txt 重建了惡意程式指令,還原了 hosts 檔案劫持手法。兩項技術加上我們前面打的基礎,我們成功重建了 Rozena 惡意軟體的攻擊鏈與 C2 通訊機制。
明天將更加深入 Windows Disk Forensics。


上一篇
【Day 13】Disk Forensics 04:釣魚郵件追蹤 - KrakenKeylogger Lab
系列文
我一個大調查下去:從零開始的數位鑑識14
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言