CyberDefenders - Brave | Writeup

İlker

Community Leader
Admin
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
48
Tepkime puanı
28
Puanları
18
CyberDefenders - Brave | Medium - Writeup

Lab çözülürken Volatility 2.6-3 sürümlerinin ikisi de kullanılmıştır.

Zipten dosyayı çıkarıyorum ve ram dökümü karşılıyor bizleri. Bunun analizini Volatility 2.6 aracıyla yapacağım.

Screenshot 2


Q1


Screenshot 1


Ram imajının ne zaman alındığını soruyor. Bunun için "vol.py -f 20210430-Win10Home-20H2-64bit-memdump.mem imageinfo" imageinfo parametresini kullanıyorum. Böylece ram imajını hk. genel bilgilere sahip olacağız ve profile bilgisini de almış olacağız. Volatility 2.6 kullandığım için profile bilgisi benim için önemli.

Screenshot 3


"2021-04-30 17:52:19" > imajın bu saat ve tarihte alındığını öğrendik.

Q2

Screenshot 4


İmajın SHA256 değerini istiyor. Bunun için sha256sum aracını kullanıyoruz.

9db01b1e7b19a3b2113bfb65e860fffd7a1630bdf2b18613d206ebf2aa0ea172

Screenshot 5


Q3

Screenshot 6

Bunun için pslist parametresi işimi görecek.

Screenshot 7


Q4


Screenshot 8


Ayakta olan bağlantı sayısını soruyor. Burada netscan parametresi işimizi görecek. Parametreyi kullanırken yalnız grep "ESTABLISHED" yaparsak diğerleriyle uğraşmamış oluruz ve wc -l ile de bunları sayabiliriz.

Screenshot 9


Doğru cevap 10 olarak çıkmış oluyor. Bu soru ortalama 35 dakikada çözülmüş. Büyük ihtimal saymadan kaynaklı ya da çok detay düşünüldüğü için zaman kaybedilmiş diye düşünüyorum. Aksi halde gördüğünüz üzere temel parametre ile çözülmüş oluyor.

Q5

Screenshot 10


Chrome'da hangi domainle bağlantı kurulduğu soruyor. Yukarıdaki netscan taramasında "185.70.41.130" ip adresinin Chrome ile bağlantılı olduğunu görüyorum. checkhost.net'e atıyorum ve sonuç:

Screenshot 11


Q6

Bu soru için şöyle bir bilgilendirme yapayım. Eğer dosyayı 2.6 sürümüyle dump ederseniz farklı, 3 sürümüyle dump ederseniz farklı bir MD5 değeri buluyorsunuz. Cyberdefenders burada 3 sürümünün hashini doğru kabul etti.

Screenshot 12


Bunun için 6988 pid'li process'i dump etmemiz lazım. 3 ve 2.6 sürümlerinde farklı hashler veriyor. 3 sürümünde aşağıdaki gibi dump ediliyor.

Screenshot 14


Screenshot 13


Aşağıdaki 2.6 sürümüyle dump edilen process. Farklı yöntemler denesem de aynı sonucu aldım. 3 sürümüyle dump edin lütfen. Bu sorunun ana mantığı da bir process'in nasıl dump edilebileceği yani kendi makinemize nasıl çekebileceğimizden oluşuyor. MD5SUM kullanmak istemiyorsanız dump edilen dosyayı VT'ye de atabilirsiniz.

Aynı hash değerini alacaksınız.

Q7

Screenshot 15


Burada aklıma doğrudan hexdump geliyor. Hexxy, xxd kullanabilirsiniz. Yaygın kullanılan araç xxd olduğu için ben de onu kullanacağım.


Screenshot 16

l parametresi lenght yani uzunluk. Soruda bunun 6 olduğunu söylemişti. offset için de -s parametresini kullandım ve son olarak da imaj dosyasının kaynağını belirttim. Sonuç "hacker" olarak çıktı böylece.

Q8

Screenshot 20


"powershell.exe"'nin ana process'ine ait oluşturma zamanını soruyor. pstree ve pslist parametreleriyle hızlıca çözeceğim. Pstree, işlemlerin "parent" ana processlerini bize dallandıra dallandıra gösteren bir parametre. Burada ana process'i bulup oluşturma zamanına oradan ya da pslist'den de bakabiliriz.

Screenshot 21


explorer.exe olduğunu görüyoruz ve sonuç çıkıyor.

Q9

Screenshot 17


Genelde bir dizin istiyorsa bunu komut satırında çalıştırmış olabileceğini düşünüyorum. Aksi halde registry kayıtları hariç bunu elde etmek zor. O yüzden CMD'de neler olup bittiğini anlamak lazım. Bunu yaparken de "cmdline" parametresi işimizi görecek.

Screenshot 18


Q10


Screenshot 19


Beni en çok zorlayan soru oldu. Burada "userassist" parametresini kullanmamız gerekiyormuş. Userassist, Registry'de yer alan ve kullanıcının kullandığı program vd. şeylerin bilgilerini tutan bir keydir. Burada Windows Forensic bilgimizi sorgulatıyor bize labı yazan arkadaş. Tazeleyip devam ediyoruz.

Soruda Brave'i ne zamandır kullandığını saat cinsinden soruyor. "userassist" parametresiyle bulalım bunu.

2.6 sürümünde parametre hata veriyor. 3 sürümünde doğrudan parametreyi yazın ve sonuç karşımızda.

Userassist


Lab'ı böylece bitirmiş oluyoruz, eksik vd. durumlarda lütfen yorum atarak belirtmeyi unutmayınız.

d'h0
 
Geri
Üst