DIGITAL FORENSICS:otterctf Memory Forensics
วันนี้่จะมาแนะนำการฝึกทำ Digital Forensics & MEMORY FORENSICS ในเว็บ https://otterctf.com/ ของ Asaf Eitani มีโจทย์ CTF มาให้ลองเล่น เป็นโจทย์แนว MEMORY FORENSICS
ในความพยายามที่จะพัฒนาทักษะด้าน Digital Forensics ใช้เวลาในการฝึกโดยการเล่น CTF ทาง Digital Forensics
OtterCTF เริ่มตั้งแต่เดือนธันวาคม 2018 และรวมถึง,Misc,Reverse Engineering ,Network ,Steganography และความท้าทายด้าน Forensics บทความนี้ครอบคลุมเฉพาะส่วน ของMemory Forensics คุณสามารถเข้าไปของเล่นได้ที่ OtterCTF
1 - What the password?
you got a sample of rick's PC's memory. can you get his user password? format: CTF{...}
#vol.exe imageinfo -f J:\CTF\OtterCTF.vmem
#vol.exe vol.py -f J:\CTF\OtterCTF.vmem --profile="Win7SP1x
64" hashdump
J:\CTF\volatility_2.6>vol.exe vol.py -f J:\CTF\OtterCTF.vmem --profile="Win7SP1x
64" lsadump
CTF{MortyIsReallyAnOtter}
2 - General Info
Let's start easy - whats the PC's name and IP address?
volatility -f OtterCTF.vmem --profile Win7SP1x64 hivelist
volatility -f OtterCTF.vmem --profile Win7SP1x64 printkey -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName"
CTF{192.168.202.131}
CTF{WIN-LO6FAF3DTFE}
3 - Play Time
Description: Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?
volatility -f OtterCTF.vmem --profile Win7SP1x64 netscan
CTF{77.102.199.102}
4 - Name Game
We know that the account was logged in to a channel called Lunar-3. what is the account name?
ทำการใช้คำสั่ง dump รายละเอียด ที่ถูกเรียกใช้ โดย Process ID 708 ไปที่Folder ที่เราสร้างไว้
#volatility -f j:\CTF\OtterCTF.vmem --profile Win7SP1x64 memdu
mp -p 708 -D J:\CTF\volatility_2.6\Dump
strings Desktop/Dump/708.dmp | grep -a Lunar\-3 -C 4
CTF{0tt3r8r33z3}
6 - Silly Rick
Description: Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password?
#vol.py -f j:\CTF\OtterCTF.vmem --profile Win7SP1x64 clipboard
CTF{M@il_Pr0vid0rs}
7 - Hide And Seek
The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
#vol.py -f OtterCTF.vmem --profile="Win7SP1x64" pstree
#vol.py -f j:\CTF\OtterCTF.vmem --profile Win7SP1x64 cmdli
ne -p 3820,3720
Name: VapeHacksLoader.exe
CTF{vmware-tray.exe}
8 - Path To Glory
How did the malware got to rick's PC? It must be one of rick old illegal habits...
vol.py -f OtterCTF.vmem --profile="Win7SP1x64" filescan | grep -i "rick and morty"
vol.py -f OtterCTF.vmem --profile="Win7SP1x64" dumpfiles -Q 0x000000007d8813c0 -D
cat file.None.0xfffffa801af10010.dat
root@kali:~# volatility -f Desktop/OtterCTF.vmem --profile="Win7SP1x64" dumpfiles -Q 0x000000007dae9350 -D .
root@kali:~# strings file.None.0xfffffa801b42c9e0.dat
CTF{M3an_T0rren7_4_R!ck}
10 - Bit 4 Bit
We've found out that the malware is a ransomware. Find the attacker's bitcoin address.
#volatility -f Desktop/OtterCTF.vmem --profile="Win7SP1x64" filescan | grep "Desktop"
#vol.py -f OtterCTF.vmem --profile="Win7SP1x64" memdump -p 3720 -D .
#strings -e l 3720.dmp | grep -i -A 5 "ransom"
CTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}
อ่าน เพิ่ม Memory Forensics
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment