介绍

随着威胁行为者越来越多地使用开源 C2 框架,我们的红队模拟了一种广泛使用的框架的功能。这次演习的目的是帮助蓝队加强对这些特定威胁的防御。我们获得了在活动期间收集的 PCAP 文件和 API,它们将成为宝贵的资源。使用 API 监视器:我们非常熟悉如何打开 PCAP 和 .EVTX 文件,但什么是 .apmx64 ? .apmx64 文件扩展名与 API 监视器相关联,API 监视器是一种用于监视和控制应用程序和服务发出的 API 调用的软件。要开始分析,请按照以下步骤操作:下载 API 监视器导航到“文件”并单击“打开”以查看从文件“Employee.apmx64”或“DC01.apmx64”中捕获的数据打开文件后,“监控进程”窗口将填充进程列表。单击“+”符号展开视图以显示与每个进程关联的模块和线程。您可以在“摘要”窗口中观察到 API 调用。要将我们的分析重点放在特定模块上,请单击进程加载的不同 DLL。提示:进行分析时,建议首先检查进程本身发出的 API 调用,而不是只关注 DLL。例如,如果我打算分析名为 csgo.exe 的进程的 API 调用,我将首先通过单击“+”符号展开视图。然后,我将通过选择“csgo.exe”将我的分析范围缩小到它,然后我可以根据需要进一步分析其他 DLL。

分别得到了员工和DC主机的API进程文件,pcap流量以及事件文件,API分析使用: http://www.rohitab.com/apimonitor

恶意软件试图与哪个 IP 地址和端口号建立连接?

从员工的API文件入手,发现一个非常可疑的csgo进程。在流量包中查找csgo.exe,得知受害者主机IP为10.10.0.79,从3.6.165.8的服务器上下载了csgo.exe,然后下面的流量的目标端口都是8080,但是试了一下不对。也许这些不是木马的流量。打开事件管理器文件,查找csgo.exe得到端口为443

3.6.165.8:443

现在您已经知道了 IP 地址和端口号,那么 C2 服务器的 JA3 指纹是什么?

JA3指纹(JA3 fingerprint)是一种用于网络流量分析的技术,旨在识别和分类不同的TLS(Transport Layer Security)客户端。TLS是一种常用于加密互联网通信的协议,它提供了安全的数据传输和身份验证机制。它们位于 HandshakeProtocol 下的 TLS 部分中,封装在 JA3 字段中

有了IP和端口之后,在wireshark筛选

ip.dst==3.6.165.8 && tcp.port==443

找到握手的请求流量:Client Hello,在里面找到JA3:19e29534fd49dd27d09234e639c4057e

红队使用的 C2 框架名称是什么?

搜索得到的JA3指纹是sliver框架

哪个 WIN32 API 向红队提供了当前目录信息?

在API查看器中,csgo.exe执行之后调用了GetCurrentDirectoryW,看名字就是查看目录用的API

现在我们已经确定了红队使用的 C2 框架,那么哪个 C2 命令负责默认打开 notepad.exe 并将 .NET CLR 加载到其中?

参考 https://sliver.sh/docs?name=Third+Party+Tools

在载入 .NET CLR 之前会打开一个notepad.exe作为牺牲进程

execute-assembly

为访问 Windows Vault 而加载的模块 (DLL) 的名称是什么?

Windows Vault是windows用于存储凭证的?

通过搜索notepad.exe加载的模块,在里面找到一个vaultcli.dll

加载上述模块后,会加载一系列 WIN32 API。哪个特定的 Win32 API 负责枚举保险库?

继续搜索vault,尝试了几个后得到是VaultEnumerateVaults

攻击者执行了哪条命令来识别域管理员?

枚举域内信息,肯定是 “net ****/domain”

在net.exe进程中搜索domain,得到net group “domain admins” /dom

红队向我们提供了一条线索,他们利用“ARMORY”中的一个工具横向移动到了 DC01。这个工具的名字是什么?

查看ARMORY的工具库 https://github.com/sliverarmory/armory/blob/master/armory.json

横向肯定要远程连接,猜测是SharpWMI

红队执行了哪条命令来提取/转储 NTDS.DIT 的内容?

打开DC的进程文件,搜索NTDS,得到:

cmd /c ntdsutil "ac in ntds" ifm "cr fu %TEMP%\H00i0Z000.dat" q q

红队已通过将上述转储压缩为 ZIP 文件来获取它。哪个特定的 Win32 API 负责检索要下载的文件的完整路径?

通过搜索”zip”,在fifa24.exe中找到了GetFullPathNameW ( “ntds.zip”, 100, 0x000000c000076000, NULL )