欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

如何在Haystack中找到Needle:使用MemLabs

e6e9fdb1a932f3282020-05-0384资讯

最近,我遇到了一个基于内存取证的新发布的CTF,称为MemLabs,并且由于内存取证在恶意软件分析中是一个非常重要的手段,因此我决定放弃我常用的Volatility Framework,Volatility是一款基于GNU协议的开源框架,使用Python语言编写而成的内存取证工具集,可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统的RAM(随机存储器)数据进行提取与分析。

从本文开始,我将分别讲述如何使用Volatility,GHex和GIMP来完成内存取证。

挑战1

在第一个挑战中,我们获得了一个大内存转储文件。与大多数CTF不同,它没有关于我们应该寻找的内容或任何初始提示的真实描述。虽然这看起来没什么帮助,但它可以很好地复制现实运行中的情况,在查明Rootkit或逃避间谍软件等恶意软件的位置时,没有任何提示。因此,首先,我们需要获取有关映像的一些信息,例如映像来自什么操作系统。为此,我们可以运行以下命令:

volatility -f MemoryDump_Lab1.raw imageinfo

查看上图的输出结果,我们可以看到第一个建议的配置文件是Win7SP1x64,因此我们将其添加到我们使用的每个命令中:

–profile=Win7SP1x64

现在我们知道这是来自使用Windows 7系统的计算机,让我们继续检查运行的进程,看看是否有异常运行。为了检查这一点,我们可以使用pslist模块,该模块列出了内存转储时所有正在运行的进程。为了执行此模块,我们可以使用以下命令:

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 pslist

在进程列表中扫描,有几个值得注意的正在运行的进程; mspaint.exe,WINRAR.exe,DumpIt.exe和cmd.exe。此时,我将假设DumpIt.exe只是用来创建内存转储的工具,因此我们将只在其他3个文件之后研究它。让我们首先看一下cmd.exe,因为它一个非常简单地转储命令行参数。我们需要做的(请注意PID: 1984)是执行控制台模块,因此该命令最终如下所示:

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 consoles

查看输出的命令结果,我们可以看到cmd.exe和conhost.exe都已传递了某种形式的命令行,但是我们主要对cmd.exe感兴趣。在命令提示符中发生的所有事情是执行命令St4G3$1,该命令返回以下值:

ZmxhZ3t0aDFzXzFzX3RoM18xc3Rfc3Q0ZzMhIX0=

可以看到它是经过Base64编码的,因此让我们继续使用CyberChef对其进行解码。

果然,解码后,我们得到了我们想要的结果。

挑战2

以上,我们从cmd.exe中获得了一个想要的输出结果,让我们来看看mspaint.exe。这个挑战比上一个要难得多,但是我仍然可以完成!

在尝试挑战之前,我已经猜到了该挑战可能是在mspaint中打开的映像,所以我想先将实际的进程转储到一个更小的文件中,以便使用。为此,我们可以使用以下命令,其中-D表示要存储转储文件的目录,-p是mspaint的PID:

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 memdump -p 2424 -D Dump/

此时,我尝试了用几种不同的方法来从转储中转储映像,直到我偶然发现这篇关于从内存中提取原始映像的文章。当文件在mspaint中打开时,魔法字节似乎并不存储在内存中,因此尝试用模块转储它们或从内存中删除它们是徒劳的。因此,我们必须将转储2424.dmp重命名为2424.data,然后使用GIMP将其打开。

打开它后,我们会得到一个弹出框,首先需要将映像类型更改为RGB Alpha,然后我们要增大宽度和高度。

注意:要缓慢增加偏移量,尽管二进制数据太小而无法显示,但我们可以开始在二进制文件中看到一些数据。因此,我们需要缓慢减小或增大宽度,直到变得更清晰为止。

当映像完全清晰后,可以对其进行微调,然后单击“确定”,将映像旋转180度(BMP的存储位置是颠倒的),然后阅读文字内容即可!

令人烦恼的是,这篇文章似乎有一部分是倒着的,所以它不是最容易辨认的,但是经过一番凝视,我们终于看到了下面的内容!

如何在Haystack中找到Needle:使用MemLabs  资讯 第1张

现在进入最后一个挑战!

挑战3

还记得我是怎么说的吗?主要原因是,我没有执行模块控制台,而是执行cmdline。这显示了每个进程的命令行,因此我注意到WINRAR.exe具有以下命令行:

************************************************************************
WinRAR.exe pid:   1512
Command line : "C:\Program Files\WinRAR\WinRAR.exe" "C:\Users\Alissa Simpson\Documents\Important.rar"
************************************************************************

很明显, Important.rar中有我们需要的信息。从以上命令行中,我们知道该文件已被发送到WinRAR中,很可能存储在内存中,所以我首先要做的是在进程上运行memdump,然后搜索.rar魔术字节:Rar!。

果然,我能够在内存中找到它,并查看压缩文件的内容;一个名为flag3.png的PNG。由于将它从内存中取出会花费太长时间,因此我们可以使用列出了由Volatility定位的所有文件的模块filescan,并且我们可以将这个输出grep为只显示带有“Important”的字符串,以便找到我们的RAR文件。得到的命令如下:

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 filescan | grep “Important”

最左边的值是内存中文件的偏移量,我们可以使用它来非常简单地提取RAR文件。幸运的是,所有的文件都是相同的,所以我们不需要担心选择哪个偏移量。我们可以使用以下命令来转储它:

volatility -f MemoryDump_Lab1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003fb48bc0 -D Dump/

文件被转储出来后,我们现在可以提取flag3.png并查看它!

很不幸这些时受密码保护的,于是我只能回到我做的原始memdump,在转储中运行字符串,并对字符串“pass”进行grep,以查看是否在任何地方提到了它。

果然,破解成功,而且RAR文件的密码似乎是Allisa帐户密码的NTLM哈希,这很容易找到,仅需执行模块hashdump,我们就可以查看每个用户的NTLM哈希,包括Allisa的:

f4ff64c8baac57d22f22edc681055ba6

将其用大写形式输入并作为RAR的密码,就得到了最终的内存结果!

恭喜你!你已经成功完成了MemLabs CTF的第一个挑战!我计划在接下来的几周内完成其他挑战。

本文翻译自:https://0ffset.net/reverse-engineering/mem-forensics-lab-1/:
PhantomLance APT分析

2019年7月,Dr. Web研究人员在Google Play中发现了一个后门木马,看似非常复杂。之后,研究人员对其进行了调查,发现这是一个长期的攻击活动,研究人员将其命名为——PhantomLance。其攻击活动可以追溯到2015年12月注册的一个域名。研究人员从2016年开始该攻击活动发布了多个相关的样本,并出现在不同的应用市场中。最近的一个样本就是2019年11月上传到Google Play中的。 最新样本 Google Play中的监控软件的最新样本伪装成了浏览器清理器: 分析过程中,研究人员发现其与OceanLotus APT攻击活动有一定的重叠。研究人员发现其与之前的安卓攻击活动代码存在相似性,基础设施以及Windows后门也存在相似性。 恶意软件版本 根据技术复杂性,研究人员将发现的样本分成3个不同的系列:1-3,其中1最简单,3最复杂。但是1到3的复杂性并不是按照年份来分类的,比如v1系列的样本在2017到2019年都出现过。 这些样