İlker
Community Leader
Admin
- Katılım
- 21 Ocak 2024
- Mesajlar
- 49
- Tepkime puanı
- 29
- Puanları
- 18
CyberDefenders - Brave | Medium - Writeup
Lab çözülürken Volatility 2.6-3 sürümlerinin ikisi de kullanılmıştır.
Zipten dosyayı çıkarıyorum ve ram dökümü karşılıyor bizleri. Bunun analizini Volatility 2.6 aracıyla yapacağım.
Q1
Ram imajının ne zaman alındığını soruyor. Bunun için "vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem imageinfo" imageinfo parametresini kullanıyorum. Böylece ram imajını hk. genel bilgilere sahip olacağız ve profile bilgisini de almış olacağız. Volatility 2.6 kullandığım için profile bilgisi benim için önemli.
"2021-04-30 17:52:19" > imajın bu saat ve tarihte alındığını öğrendik.
Q2
İmajın SHA256 değerini istiyor. Bunun için sha256sum aracını kullanıyoruz.
Q3
Bunun için pslist parametresi işimi görecek.
Q4
Ayakta olan bağlantı sayısını soruyor. Burada netscan parametresi işimizi görecek. Parametreyi kullanırken yalnız grep "ESTABLISHED" yaparsak diğerleriyle uğraşmamış oluruz ve wc -l ile de bunları sayabiliriz.
Doğru cevap 10 olarak çıkmış oluyor. Bu soru ortalama 35 dakikada çözülmüş. Büyük ihtimal saymadan kaynaklı ya da çok detay düşünüldüğü için zaman kaybedilmiş diye düşünüyorum. Aksi halde gördüğünüz üzere temel parametre ile çözülmüş oluyor.
Q5
Chrome'da hangi domainle bağlantı kurulduğu soruyor. Yukarıdaki netscan taramasında "185.70.41.130" ip adresinin Chrome ile bağlantılı olduğunu görüyorum. checkhost.net'e atıyorum ve sonuç:
Q6
Bu soru için şöyle bir bilgilendirme yapayım. Eğer dosyayı 2.6 sürümüyle dump ederseniz farklı, 3 sürümüyle dump ederseniz farklı bir MD5 değeri buluyorsunuz. Cyberdefenders burada 3 sürümünün hashini doğru kabul etti.
Bunun için 6988 pid'li process'i dump etmemiz lazım. 3 ve 2.6 sürümlerinde farklı hashler veriyor. 3 sürümünde aşağıdaki gibi dump ediliyor.
Aşağıdaki 2.6 sürümüyle dump edilen process. Farklı yöntemler denesem de aynı sonucu aldım. 3 sürümüyle dump edin lütfen. Bu sorunun ana mantığı da bir process'in nasıl dump edilebileceği yani kendi makinemize nasıl çekebileceğimizden oluşuyor. MD5SUM kullanmak istemiyorsanız dump edilen dosyayı VT'ye de atabilirsiniz.
Aynı hash değerini alacaksınız.
Q7
Burada aklıma doğrudan hexdump geliyor. Hexxy, xxd kullanabilirsiniz. Yaygın kullanılan araç xxd olduğu için ben de onu kullanacağım.
l parametresi lenght yani uzunluk. Soruda bunun 6 olduğunu söylemişti. offset için de -s parametresini kullandım ve son olarak da imaj dosyasının kaynağını belirttim. Sonuç "hacker" olarak çıktı böylece.
Q8
"powershell.exe"'nin ana process'ine ait oluşturma zamanını soruyor. pstree ve pslist parametreleriyle hızlıca çözeceğim. Pstree, işlemlerin "parent" ana processlerini bize dallandıra dallandıra gösteren bir parametre. Burada ana process'i bulup oluşturma zamanına oradan ya da pslist'den de bakabiliriz.
explorer.exe olduğunu görüyoruz ve sonuç çıkıyor.
Q9
Genelde bir dizin istiyorsa bunu komut satırında çalıştırmış olabileceğini düşünüyorum. Aksi halde registry kayıtları hariç bunu elde etmek zor. O yüzden CMD'de neler olup bittiğini anlamak lazım. Bunu yaparken de "cmdline" parametresi işimizi görecek.
Q10
Beni en çok zorlayan soru oldu. Burada "userassist" parametresini kullanmamız gerekiyormuş. Userassist, Registry'de yer alan ve kullanıcının kullandığı program vd. şeylerin bilgilerini tutan bir keydir. Burada Windows Forensic bilgimizi sorgulatıyor bize labı yazan arkadaş. Tazeleyip devam ediyoruz.
Soruda Brave'i ne zamandır kullandığını saat cinsinden soruyor. "userassist" parametresiyle bulalım bunu.
2.6 sürümünde parametre hata veriyor. 3 sürümünde doğrudan parametreyi yazın ve sonuç karşımızda.
Lab'ı böylece bitirmiş oluyoruz, eksik vd. durumlarda lütfen yorum atarak belirtmeyi unutmayınız.
d'h0
Lab çözülürken Volatility 2.6-3 sürümlerinin ikisi de kullanılmıştır.
Zipten dosyayı çıkarıyorum ve ram dökümü karşılıyor bizleri. Bunun analizini Volatility 2.6 aracıyla yapacağım.
Q1
Ram imajının ne zaman alındığını soruyor. Bunun için "vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem imageinfo" imageinfo parametresini kullanıyorum. Böylece ram imajını hk. genel bilgilere sahip olacağız ve profile bilgisini de almış olacağız. Volatility 2.6 kullandığım için profile bilgisi benim için önemli.
"2021-04-30 17:52:19" > imajın bu saat ve tarihte alındığını öğrendik.
Q2
İmajın SHA256 değerini istiyor. Bunun için sha256sum aracını kullanıyoruz.
Q3
Bunun için pslist parametresi işimi görecek.
Q4
Ayakta olan bağlantı sayısını soruyor. Burada netscan parametresi işimizi görecek. Parametreyi kullanırken yalnız grep "ESTABLISHED" yaparsak diğerleriyle uğraşmamış oluruz ve wc -l ile de bunları sayabiliriz.
Doğru cevap 10 olarak çıkmış oluyor. Bu soru ortalama 35 dakikada çözülmüş. Büyük ihtimal saymadan kaynaklı ya da çok detay düşünüldüğü için zaman kaybedilmiş diye düşünüyorum. Aksi halde gördüğünüz üzere temel parametre ile çözülmüş oluyor.
Q5
Chrome'da hangi domainle bağlantı kurulduğu soruyor. Yukarıdaki netscan taramasında "185.70.41.130" ip adresinin Chrome ile bağlantılı olduğunu görüyorum. checkhost.net'e atıyorum ve sonuç:
Q6
Bu soru için şöyle bir bilgilendirme yapayım. Eğer dosyayı 2.6 sürümüyle dump ederseniz farklı, 3 sürümüyle dump ederseniz farklı bir MD5 değeri buluyorsunuz. Cyberdefenders burada 3 sürümünün hashini doğru kabul etti.
Bunun için 6988 pid'li process'i dump etmemiz lazım. 3 ve 2.6 sürümlerinde farklı hashler veriyor. 3 sürümünde aşağıdaki gibi dump ediliyor.
Aşağıdaki 2.6 sürümüyle dump edilen process. Farklı yöntemler denesem de aynı sonucu aldım. 3 sürümüyle dump edin lütfen. Bu sorunun ana mantığı da bir process'in nasıl dump edilebileceği yani kendi makinemize nasıl çekebileceğimizden oluşuyor. MD5SUM kullanmak istemiyorsanız dump edilen dosyayı VT'ye de atabilirsiniz.
Aynı hash değerini alacaksınız.
Q7
Burada aklıma doğrudan hexdump geliyor. Hexxy, xxd kullanabilirsiniz. Yaygın kullanılan araç xxd olduğu için ben de onu kullanacağım.
l parametresi lenght yani uzunluk. Soruda bunun 6 olduğunu söylemişti. offset için de -s parametresini kullandım ve son olarak da imaj dosyasının kaynağını belirttim. Sonuç "hacker" olarak çıktı böylece.
Q8
"powershell.exe"'nin ana process'ine ait oluşturma zamanını soruyor. pstree ve pslist parametreleriyle hızlıca çözeceğim. Pstree, işlemlerin "parent" ana processlerini bize dallandıra dallandıra gösteren bir parametre. Burada ana process'i bulup oluşturma zamanına oradan ya da pslist'den de bakabiliriz.
explorer.exe olduğunu görüyoruz ve sonuç çıkıyor.
Q9
Genelde bir dizin istiyorsa bunu komut satırında çalıştırmış olabileceğini düşünüyorum. Aksi halde registry kayıtları hariç bunu elde etmek zor. O yüzden CMD'de neler olup bittiğini anlamak lazım. Bunu yaparken de "cmdline" parametresi işimizi görecek.
Q10
Beni en çok zorlayan soru oldu. Burada "userassist" parametresini kullanmamız gerekiyormuş. Userassist, Registry'de yer alan ve kullanıcının kullandığı program vd. şeylerin bilgilerini tutan bir keydir. Burada Windows Forensic bilgimizi sorgulatıyor bize labı yazan arkadaş. Tazeleyip devam ediyoruz.
Soruda Brave'i ne zamandır kullandığını saat cinsinden soruyor. "userassist" parametresiyle bulalım bunu.
2.6 sürümünde parametre hata veriyor. 3 sürümünde doğrudan parametreyi yazın ve sonuç karşımızda.
Lab'ı böylece bitirmiş oluyoruz, eksik vd. durumlarda lütfen yorum atarak belirtmeyi unutmayınız.
d'h0