内存dump文件分析
目录
- dump
- sneak
- 攻击步骤:
dump
打开Volatility工具目录,C:\Users\Administrator\Desktop\应急工具集\volatility
打开运行输入volatility.exe -f 文件 imageinfo(花费比较长的时间,对于这个mem文件,可以使用Win2012R2x64作为profile)
输入volatility.exe -f 文件 --profile=Win2012R2x64 pslist查看所有进程
输入volatility.exe -f memdump.mem --profile=Win2012R2x64 pstree查看进程中的树型关系
获得了可疑终端程序的内存映像,在内存分析过程中,首先识别恶意进程正在运行或隐藏的迹象,可以通过使用各种volatility插件来实现。通过使用pstree,可以看到Isass.exe作为资源管理器.exe子进程运行。因此,它是伪装成真正的lsass.exe进程,其次是lsass.exe父进程也不是explorer.exe而是wininit.exe。因此,这是一个恶意进程。进程 ID 为 232,父进程 ID 为 912。
sneak
打开C:\Users\Administrator\Desktop\案例\sneak
打开json文件确认操作系统版本的profile
在cmd中切换至C:\Users\Administrator\Desktop\案例\sneak\volatility工具目录,输入命令python2 vol.py -f C:\Users\Administrator\Desktop\案例\sneak\DESKTOP-HUB666E-20200203-130818.dmp --profile=Win10x64_15063 netscan(忽略报错)
通过对内存中进程网络数据连接的分析,可以看出PID 5820 chrome.exe的进程异常的通过端口3389隧道传输流量。通过对
攻击步骤:
· 进程 svchost.exe PID 932 是 RDP 服务,侦听端口 3389
· 受害者 172.168.109.155 通过反向shell连接到攻击者 172.16.109.149:443。反向shell进程伪装成chrome.exe
· Meterpreter 命令“portfwd”可以用于将本地 3389 端口转发到受感染的主机 3389。
· 反向 shell(SSL 隧道)隐藏了从攻击者到受害者的 RDP 流量,并且还有效地绕过了阻止受害者端口 3389 的任何防火墙规则。