HTBSherlockTracer

简介

值班的初级 SOC 分析师报告了多条警报，表明工作站上存在 PsExec。他们验证了这些警报，并将警报升级到 II 级。作为事件响应者，您对端点进行了分类，以找出感兴趣的工件。现在请回答有关此安全事件的问题，以便您可以将其报告给您的事件经理。

Windows Prefetch 文件是一种由Windows操作系统生成的特殊类型的小文件，其扩展名为 .pf

这些文件主要用于提高系统的启动速度和应用程序的加载效率。Prefetch 文件记录了系统加载和运行应用程序时的磁盘访问模式，包括文件和页面的读取顺序

比较大的$J文件时MFT文件

SOC 团队怀疑有对手潜伏在他们的环境中并使用 PsExec 进行横向移动。一名初级 SOC 分析师特别报告了工作站上 PsExec 的使用情况。攻击者在系统上执行了多少次 PsExec？

先把事件导出成csv

PS D:\wangan\ctf\sherlock\EvtxeCmd> .\EvtxECmd.exe -d .\logs\ --csv .\ --csvf MyOutputFile.csv

用timelineexploer打开

关于psexec,可以参考: https://bromiley.medium.com/digging-into-sysinternals-psexec-64c783bace2b

新的服务的注册服务事件ID是7045,psexec的原理就是远程注册服务

筛选7045ID

%SystemRoot%\PSEXESVC.exe 执行了9次

PsExec 工具释放的允许攻击者执行远程命令的服务二进制文件的名称是什么？

PSEXESVC.exe

现在我们已经确认 PsExec 运行了多次，我们对 PsExec 的第 5 个倒数实例特别感兴趣。PsExec 服务二进制文件运行时的时间戳是什么？

按照时间排序倒数第五个

07/09/2023 12:06:54

您能否确认攻击者横向移动的工作站的主机名？

psexec通过管道在主机之间进行通信,创建管道的ID为17,然后筛选payload

发现管道的名称为PSEXESVC-FORELA-WKSTN001-7460-stderr

所以横向的目标主机名是FORELA-WKSTN001

Psexec 倒数第 5 个实例删除的密钥文件的全名是什么？

涉及到了文件，那么先提取MFT文件

PS D:\wangan\ctf\sherlock> .\MFTECmd.exe -f '.\$J' --csv . --csvf mft.csv

导入timeline

那就在psexec倒数第五个实例的时间周围寻找,倒数第六个创建的时间是12.08

搜索.key后缀名，找到PSEXEC-FORELA-WKSTN001-95F03CFE.key

您能确认此密钥文件在磁盘上创建的时间戳吗？

07/09/2023 12:06:55

PsExec 倒数第五个实例的以“stderr”关键字结尾的命名管道的全名是什么？

搜索管道名称stderr，根据时间线得到

\PSEXESVC-FORELA-WKSTN001-3056-stderr