DumpMe - CyberDefenders Lab

Kızıl_Kelebek

Kızıl_Kelebek

Üye
19 Mar 2022
201
185
Yer6
Herkese merhabalar,

Bugün cyberdefenders.org sitesinde bulunan DumpMe başlıklı labı inceleyeceğiz.

Konu ile ilgili dökümanlara ve gerekli araçlara CyberDefenders: DumpMe blueteam challenge. adresinden ulaşabilirsiniz.

Biz bu konumuzda bellek dökümü incelememizi kali linux üzerinde gerçekleştireceğiz.

Seneryomuz ;

SOC analistlerinden biri, ölçüm yorumlayıcı kötü amaçlı yazılımı bulaşmış bir makineden bellek dökümü aldı. Bir Dijital Adli Tıp Uzmanı olarak işiniz, dökümü analiz etmek, mevcut uzlaşma göstergelerini (IOC'ler) çıkarmak ve verilen soruları yanıtlamaktır.


Soru 1.) What is the SHA1 hash of Triage-Memory.mem (memory dump)?

Triage-Memory.mem'in (bellek dökümü) SHA1 karması nedir?

Çözüm 1.) Kod : sha1sum Triage-Memory.mem

Cevap: c95e8cc8c946f95a109ea8e47a6800de10a27abd



Soru 2.) What volatility profile is the most appropriate for this machine? (ex: Win10x86_14393)

Bu makine için en uygun volatilite profili hangisidir? (ör: Win10x86_14393)

Çözüm 2.) Kod : python2 vol.py -f Triage-Memory.mem imageinfo

Cevap : Win7SP1x64



Soru 3.) What was the process ID of notepad.exe?

notepad.exe'nin işlem kimliği neydi?


Çözüm 3.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 pslist

Cevap: 3032




Soru 4.) Name the child process of wscript.exe.

wscript.exe'nin alt sürecini adlandırın.

Çözüm 4.) python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 pstree

Cevap: UWkpjFjDzM.exe



Soru 5.) What was the IP address of the machine at the time the RAM dump was created?

RAM dökümü oluşturulduğunda makinenin IP adresi neydi?

Çözüm 5.) Kod: python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 netscan

Cevap: 10.0.0.101



Soru 6.) Based on the answer regarding the infected PID, can you determine the IP of the attacker?

Etkilenen PID ile ilgili cevaba göre, saldırganın IP'sini belirleyebilir misiniz?

Çözüm 6.) Kod: python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 netscan

Cevap: 10.0.0.106



Soru 7.) How many processes are associated with VCRUNTIME140.dll?

VCRUNTIME140.dll ile ilişkili kaç işlem var?

Çözüm 7.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 dlllist | grep -e VCRUNTIME140.dll

Cevap : 5 işlem bulunmaktadır.



Soru 8.) After dumping the infected process, what is its md5 hash?

Virüs bulaşmış işlemi boşalttıktan sonra, md5 karma değeri nedir?

Çözüm 8.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 procdump -p3496 --dump-dir .

Hash’i kontrol ediyoruz : md5sum executable.3496.exe

Cevap : 690ea20bc3bdfb328e23005d9a80c290



Soru 9.) What is the LM hash of Bob's account?

Bob'un hesabının LM karması nedir?

Çözüm 9.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 hashdump

Cevap : aad3b435b51404eeaad3b435b51404ee



Soru 10.) ) What memory protection constants does the VAD node at 0xfffffa800577ba10 have?

0xfffffa800577ba10'daki VAD düğümü hangi bellek koruma sabitlerine sahiptir?

Çözüm 10.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 vadinfo | grep -A 3 0xfffffa800577ba10

Cevap : PAGE_READONLY



Soru 11.) What memory protection did the VAD starting at 0x00000000033c0000 and ending at 0x00000000033dffff have?

0x00000000033c0000 ile başlayan ve 0x00000000033dffff ile biten VAD hangi bellek korumasına sahipti?

Çzüm 11.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 vadinfo | grep -A 3 "Start 0x00000000033c0000 End 0x00000000033dffff"

Cevap : PAGE_NOACCESS



Soru 12.) There was a VBS script that ran on the machine. What is the name of the script? (submit without file extension)

Makinede çalışan bir VBS betiği vardı. Senaryonun adı nedir? (dosya uzantısı olmadan gönderin)

Çözüm 12.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 cmdline | grep vbs

Cevap : vhjReUDEuumr



Soru 13.) An application was run at 2019-03-07 23:06:58 UTC. What is the name of the program? (Include extension)

2019-03-07 23:06:58 UTC'de bir uygulama çalıştırıldı. Programın adı nedir? (Uzantıyı dahil et)

Çozüm 13.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 shimcache | grep "2019-03-07 23:06:58"

Cevap : Skype.exe



Soru 14.) What was written in notepad.exe at the time when the memory dump was captured?

Bellek dökümü yakalandığında notepad.exe'de ne yazıyordu?

Çözüm 14.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 memdump -p 3032 --dump-dir .

Şimdi içeriği gösteriyoruz : strings -e l 3032.dmp | grep "flag<.*>"

Cevap : bayrak<REDBULL_IS_LIFE>



Soru 15.) What is the short name of the file at file record 59045?

59045 dosya kaydındaki dosyanın kısa adı nedir?

Çözüm 15.) Kod : python2 vol.py -f Triage-Memory.mem — profile=Win7SP1x64 mftparser|grep 59045 -C 20

Cevap : EMPLOY~1.XLS



Soru 16.) This box was exploited and is running meterpreter. What was the infected PID?

Bu kutu istismar edildi ve meterpreter çalıştırıyor. Enfekte PID neydi?

Cevap 16.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 netscan | grep UWkpjFjDzM.exe

Cevap : 3496


 
Z'nick

Z'nick

Üye
5 Ara 2021
104
44
PAHİYTAHT
Kızıl_Kelebek' Alıntı:
Herkese merhabalar,

Bugün cyberdefenders.org sitesinde bulunan DumpMe başlıklı labı inceleyeceğiz.

Konu ile ilgili dökümanlara ve gerekli araçlara CyberDefenders: DumpMe blueteam challenge. adresinden ulaşabilirsiniz.

Biz bu konumuzda bellek dökümü incelememizi kali linux üzerinde gerçekleştireceğiz.

Seneryomuz ;

SOC analistlerinden biri, ölçüm yorumlayıcı kötü amaçlı yazılımı bulaşmış bir makineden bellek dökümü aldı. Bir Dijital Adli Tıp Uzmanı olarak işiniz, dökümü analiz etmek, mevcut uzlaşma göstergelerini (IOC'ler) çıkarmak ve verilen soruları yanıtlamaktır.


Soru 1.) What is the SHA1 hash of Triage-Memory.mem (memory dump)?

Triage-Memory.mem'in (bellek dökümü) SHA1 karması nedir?

Çözüm 1.) Kod : sha1sum Triage-Memory.mem

Cevap: c95e8cc8c946f95a109ea8e47a6800de10a27abd



Soru 2.) What volatility profile is the most appropriate for this machine? (ex: Win10x86_14393)

Bu makine için en uygun volatilite profili hangisidir? (ör: Win10x86_14393)

Çözüm 2.) Kod : python2 vol.py -f Triage-Memory.mem imageinfo

Cevap : Win7SP1x64



Soru 3.) What was the process ID of notepad.exe?

notepad.exe'nin işlem kimliği neydi?


Çözüm 3.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 pslist

Cevap: 3032




Soru 4.) Name the child process of wscript.exe.

wscript.exe'nin alt sürecini adlandırın.

Çözüm 4.) python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 pstree

Cevap: UWkpjFjDzM.exe



Soru 5.) What was the IP address of the machine at the time the RAM dump was created?

RAM dökümü oluşturulduğunda makinenin IP adresi neydi?

Çözüm 5.) Kod: python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 netscan

Cevap: 10.0.0.101



Soru 6.) Based on the answer regarding the infected PID, can you determine the IP of the attacker?

Etkilenen PID ile ilgili cevaba göre, saldırganın IP'sini belirleyebilir misiniz?

Çözüm 6.) Kod: python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 netscan

Cevap: 10.0.0.106



Soru 7.) How many processes are associated with VCRUNTIME140.dll?

VCRUNTIME140.dll ile ilişkili kaç işlem var?

Çözüm 7.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 dlllist | grep -e VCRUNTIME140.dll

Cevap : 5 işlem bulunmaktadır.



Soru 8.) After dumping the infected process, what is its md5 hash?

Virüs bulaşmış işlemi boşalttıktan sonra, md5 karma değeri nedir?

Çözüm 8.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 procdump -p3496 --dump-dir .

Hash’i kontrol ediyoruz : md5sum executable.3496.exe

Cevap : 690ea20bc3bdfb328e23005d9a80c290



Soru 9.) What is the LM hash of Bob's account?

Bob'un hesabının LM karması nedir?

Çözüm 9.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 hashdump

Cevap : aad3b435b51404eeaad3b435b51404ee



Soru 10.) ) What memory protection constants does the VAD node at 0xfffffa800577ba10 have?

0xfffffa800577ba10'daki VAD düğümü hangi bellek koruma sabitlerine sahiptir?

Çözüm 10.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 vadinfo | grep -A 3 0xfffffa800577ba10

Cevap : PAGE_READONLY



Soru 11.) What memory protection did the VAD starting at 0x00000000033c0000 and ending at 0x00000000033dffff have?

0x00000000033c0000 ile başlayan ve 0x00000000033dffff ile biten VAD hangi bellek korumasına sahipti?

Çzüm 11.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 vadinfo | grep -A 3 "Start 0x00000000033c0000 End 0x00000000033dffff"

Cevap : PAGE_NOACCESS



Soru 12.) There was a VBS script that ran on the machine. What is the name of the script? (submit without file extension)

Makinede çalışan bir VBS betiği vardı. Senaryonun adı nedir? (dosya uzantısı olmadan gönderin)

Çözüm 12.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 cmdline | grep vbs

Cevap : vhjReUDEuumr



Soru 13.) An application was run at 2019-03-07 23:06:58 UTC. What is the name of the program? (Include extension)

2019-03-07 23:06:58 UTC'de bir uygulama çalıştırıldı. Programın adı nedir? (Uzantıyı dahil et)

Çozüm 13.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 shimcache | grep "2019-03-07 23:06:58"

Cevap : Skype.exe



Soru 14.) What was written in notepad.exe at the time when the memory dump was captured?

Bellek dökümü yakalandığında notepad.exe'de ne yazıyordu?

Çözüm 14.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 memdump -p 3032 --dump-dir .

Şimdi içeriği gösteriyoruz : strings -e l 3032.dmp | grep "flag<.*>"

Cevap : bayrak<REDBULL_IS_LIFE>



Soru 15.) What is the short name of the file at file record 59045?

59045 dosya kaydındaki dosyanın kısa adı nedir?

Çözüm 15.) Kod : python2 vol.py -f Triage-Memory.mem — profile=Win7SP1x64 mftparser|grep 59045 -C 20

Cevap : EMPLOY~1.XLS



Soru 16.) This box was exploited and is running meterpreter. What was the infected PID?

Bu kutu istismar edildi ve meterpreter çalıştırıyor. Enfekte PID neydi?

Cevap 16.) Kod : python2 vol.py -f Triage-Memory.mem --profile=Win7SP1x64 netscan | grep UWkpjFjDzM.exe

Cevap : 3496


Genişletmek için tıkla ...
EMEĞİNİZE SAĞLIK
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.