Digital Forensics:DumpMe Lab—Memory Forensics Writeup— Cyber Defenders

Cyberdefenders: DumpMe

Description

One of the SOC analysts took a memory dump from a machine infected with a meterpreter malware. As a Digital Forensicators, your job is to analyze the dump, extract the available indicators of compromise (IOCs) and answer the provided questions.

Q1 What is the SHA1 hash of Triage-Memory.mem (memory dump)?

#shasum Triage-Memory.mem 

Ans: c95e8cc8c946f95a109ea8e47a6800de10a27abd 

Q2: What volatility profile is the most appropriate for this machine? (ex: Win10x86_14393)

We can use the imageinfo  plugins to determine the proper profile of Triage-Memory.mem.

vol.py -f Triage-Memory.mem imageinfo

Q9 What is the LM hash of Bob's account?

#vol.py -f Triage-Memory.mem --profile=Win7SP1x64 procdump hashdump | grep "Bob"

Bob:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

User: Bob

LM:aad3b435b51404eeaad3b435b51404ee

Make a file on your computer and copy/paste Bob_account’s hash in there. 

We will use Hashcat to crack it. Look through Hashcat’s mode LIST and you’ll see that NTLM is mode 1000:

Make sure you have the rockyou.txt list saved on your system before we start.

#hashcat -m 1000 <hash file location> <wordlist file location>

In a few seconds we will have our password (up top after the hash).

If you’d like an easier alternative, use CrackStation.

*ขออภัยที่ทำไม่เสรฺ็จ ค่อยกลับมาทำใหม่ครับ

BlueTeam CTF Challenges - CyberDefenders

ที่มา:   cyberdefenders.org 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD