Sunday, August 22, 2021

DIGITAL FORENSICS:OTTERCTF MEMORY FORENSICS

DIGITAL FORENSICS:otterctf Memory Forensics

วันนี้่จะมาแนะนำการฝึกทำ Digital Forensics & MEMORY FORENSICS ในเว็บ https://otterctf.com/  ของ Asaf Eitani มีโจทย์ CTF มาให้ลองเล่น เป็นโจทย์แนว MEMORY FORENSICS

ในความพยายามที่จะพัฒนาทักษะด้าน Digital Forensics  ใช้เวลาในการฝึกโดยการเล่น CTF ทาง Digital Forensics 

OtterCTF เริ่มตั้งแต่เดือนธันวาคม 2018 และรวมถึง,Misc,Reverse Engineering ,Network ,Steganography  และความท้าทายด้าน Forensics  บทความนี้ครอบคลุมเฉพาะส่วน ของMemory Forensics  คุณสามารถเข้าไปของเล่นได้ที่  OtterCTF 




1 - What the password?

you got a sample of rick's PC's memory. can you get his user password? format: CTF{...}
#vol.exe imageinfo -f J:\CTF\OtterCTF.vmem

#vol.exe vol.py -f J:\CTF\OtterCTF.vmem --profile="Win7SP1x
64" hashdump

J:\CTF\volatility_2.6>vol.exe vol.py -f J:\CTF\OtterCTF.vmem --profile="Win7SP1x

64" lsadump


CTF{MortyIsReallyAnOtter}

2 - General Info

Let's start easy - whats the PC's name and IP address?

volatility -f OtterCTF.vmem --profile Win7SP1x64 hivelist




volatility -f OtterCTF.vmem --profile Win7SP1x64 printkey -o 0xfffff8a000024010 -K "ControlSet001\Control\ComputerName\ComputerName"

CTF{192.168.202.131}
CTF{WIN-LO6FAF3DTFE}

3 - Play Time

Description: Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server?

volatility -f OtterCTF.vmem --profile Win7SP1x64 netscan


CTF{LunarMS}
CTF{77.102.199.102}


4 - Name Game

 We know that the account was logged in to a channel called Lunar-3. what is the account name?

ทำการใช้คำสั่ง  dump รายละเอียด ที่ถูกเรียกใช้ โดย Process ID 708 ไปที่Folder ที่เราสร้างไว้
#volatility -f j:\CTF\OtterCTF.vmem --profile Win7SP1x64 memdu
mp -p 708 -D J:\CTF\volatility_2.6\Dump

strings Desktop/Dump/708.dmp | grep -a Lunar\-3 -C 4 

CTF{0tt3r8r33z3}


6 - Silly Rick

Description: Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password?

#vol.py -f j:\CTF\OtterCTF.vmem --profile Win7SP1x64 clipboard

CTF{M@il_Pr0vid0rs}

7 - Hide And Seek


The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension)
#vol.py -f OtterCTF.vmem --profile="Win7SP1x64" pstree

#vol.py -f j:\CTF\OtterCTF.vmem --profile Win7SP1x64 cmdli
ne -p 3820,3720
Name: VapeHacksLoader.exe

CTF{vmware-tray.exe}

8 - Path To Glory

How did the malware got to rick's PC? It must be one of rick old illegal habits...
vol.py -f OtterCTF.vmem --profile="Win7SP1x64" filescan | grep -i "rick and morty"


vol.py -f OtterCTF.vmem --profile="Win7SP1x64" dumpfiles -Q 0x000000007d8813c0 -D
cat file.None.0xfffffa801af10010.dat

root@kali:~# volatility -f Desktop/OtterCTF.vmem --profile="Win7SP1x64" dumpfiles -Q 0x000000007dae9350 -D .

root@kali:~# strings file.None.0xfffffa801b42c9e0.dat

CTF{M3an_T0rren7_4_R!ck}


10 - Bit 4 Bit

We've found out that the malware is a ransomware. Find the attacker's bitcoin address.

#volatility -f Desktop/OtterCTF.vmem --profile="Win7SP1x64" filescan | grep "Desktop"


#vol.py -f OtterCTF.vmem --profile="Win7SP1x64" memdump -p 3720 -D .


#strings -e l 3720.dmp | grep -i -A 5 "ransom"


CTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}






อ่าน เพิ่ม Memory Forensics



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD







No comments:

Post a Comment