سيناريو تحقيق جنائي لفايروس الفدية (ransomware )

[H4x0r]

السلام عليكم ورحمة الله​

في سيناريو CTF جميل جدًا اليوم رح نحكي فيه و نشوف تكنيك في التحقيق الجنائي

We got an ransomware attack recently could you help us recover our data
Once you got data recovered run the secret in your powershell

هذا السيناريو … بحكيلك الجهاز صار عليه ransomware attack و في ملف اسمه secret تمام! بدنا نرجع هذا الملف … خلونا نبلش
طبعًا السيناريو أعطاني منه disk image :

رح نستخدم FTK :

​

أول شيء بشوفه هو Desktop

هذا هو الملف ال secret يلي بدي أفك تشفيره .
خلينا نبحث في الملفات الثانية مثل Downloads

​

هون عرفت أنه استخدم أداة تسمى PSRansom والتي يتم نشرها بشكل عام على GitHub.
خلونا نروح نبحث عن PSRansom :

خلونا كمان نقرأ الكود شوي ممكن نفهم أكثر شو يلي بصير

بمجرد قراءة الكود رح تلاحظ أنه عندك شرطين إما أن يكون خادم C2 موجودًا ثم يقوم بإخراج المفتاح إلى خادم C2 أو إذا لم يتمكن البرنامج النصي من الوصول إلى خادم C2 فسيقوم فقط بإنشاء ملف readme.txt يحتوي على المفتاح الذي سنستخدمه لفك التشفير.

و هذا الملف شفناه قبل readme.txt في Desktop.

هه محذوف , طيب خلونا نبحث أكثر
لقيت هذا الملف Default.rdp file أثناء البحث :

ملف Default.rdp هو ملف يتم إنشاؤه عند استخدام تطبيق “Remote Desktop Connection” في نظام التشغيل Windows. أنت أو أي شخص يستخدم جهاز الكمبيوتر الخاص بك متصلاً بـ RDP باستخدام اتصال سطح المكتب البعيد. Default.rdp هو ملف آمن يقوم بتخزين المعلومات الافتراضية.

ايواااااا يعني في اتصال صارر! تمام أنا دائمًا بحب أبحث
يعني الatacker حذف ملف readme.txt بعدين اتصل في C2 و ممكن نشوف هالشي من powershell histroy

​

تمام كونه صار اتصال خلينا نشوف RDPChache

C:\Users<USER>\AppData\Local\Microsoft\Terminal Server Client\Cache

و هي لقيت ملف rdpCache >

ممكن نحكي عن هذا الموضوع في مقال مستقل المهم صار في نقل صور و عشان نرجع هاي الصور بنحتاج tool.

GitHub - ANSSI-FR/bmc-tools: RDP Bitmap Cache parser

و المشكلة الصور بترجع مبعثرة بدنا نركبها على بعض ف رح نحتاج tool ثانية >

GitHub - BSI-Bund/RdpCacheStitcher: RdpCacheStitcher is a tool that supports forensic analysts in reconstructing useful images out of RDP cache bitmaps.

بعد التجميع رح يطلع معي ال kry و flag >

الآن خلصنا الجزء الأول
​

كونه الآن معنا ال key بنقدر نفك الملف بنسحب الملف للجهاز >>

شوفوا الصورة بنفس الtool بنقدر نعمل Decrypt و أصلًا ال key جبناه، يلاا نفكه …
لما نفكه بطلع :

powershell.exe -ep bypass -WindowStyle hidden -c (New-Object System.IO.StreamReader(New-Object System.IO.Compression.GZipStream((New-Object System.IO.MemoryStream(,[System.Convert]::FromBase64String(((‘H4sIAAAAAAA’+‘E’+‘AFMuKs3LTe{0}lCi5JLCrRDSjKT04tLlbIKCk{1}KLbS1y8v’+‘L9erzC8tKU1K1UvOz’+‘9UvTyxJzrAvs00JLDc{1}twxPj0gO5OWKK’+‘EjMS6{3}m5QowKE8tMs1Izc’+‘mJ{4}wsJV6wFACK{2}NRVbAAAA’)-f ‘X’, ‘p’,‘a’,‘n’,‘d’,‘{’)))),[System.IO.Compression.CompressionMode]:ecompress))).ReadToEnd()

شوف الفكرة وين،! هذا نص base 64 بس في عندك

{0} = X, {1] = p, {2} = a

فهمت فك التشفير … رح يطلع ملف Gz فك ضغطه و بتلاقي رسالة مكتوبة :

وهيك أنتهينا
​

*انا صراحة عجبني من أجمل تحديات ال CTF .

 

[Benjamin]

موضوع جميل جدا الله يعطيك العافية

 

[𝔍𝔒𝔎☠𝔖Ħ⍬ⱾͲ𝔍𝔒𝔎☠𝔖Ħ⍬ⱾͲ is verified member.]

حلو الله يعطيك العافية التسلسل في حل المشكلة هو حل مشكلة اخرى بمعنى انت عرفت كيف تبلش وكيف تشبك الخطوط فبعض و الية عمل وفهم عقل الهاكر ليستخدم هيك مالوير احييك اخوي واذا احتجت تولز تساعدك في الموضوع مجانا طبعا انا بالخدمة ♥

 

[H4x0r]

حلو الله يعطيك العافية التسلسل في حل المشكلة هو حل مشكلة اخرى بمعنى انت عرفت كيف تبلش وكيف تشبك الخطوط فبعض و الية عمل وفهم عقل الهاكر ليستخدم هيك مالوير احييك اخوي واذا احتجت تولز تساعدك في الموضوع مجانا طبعا انا بالخدمة ♥

اشكرك على هذا التعليق و ان شاء الله رح يتم نشر بعض السيناريوهات الجميلة قريبا...
+ يا ريت اذا في تولز تفيدني و تفيد الجميع فيهم و شكرا..

 

[𝔍𝔒𝔎☠𝔖Ħ⍬ⱾͲ𝔍𝔒𝔎☠𝔖Ħ⍬ⱾͲ is verified member.]

اشكرك على هذا التعليق و ان شاء الله رح يتم نشر بعض السيناريوهات الجميلة قريبا...
+ يا ريت اذا في تولز تفيدني و تفيد الجميع فيهم و شكرا..

ابشر ولا يهمك حنزل تولز حتفيد الجميع انشالله

 

[H4x0r]

ابشر ولا يهمك حنزل تولز حتفيد الجميع انشالله

ننتظر بفارغ الصبر

 

[أبو البراءأبو البراء is verified member.]

أحسنت وبارك الله فيك يا رعد، شرح رائع، متعنا بجديدك دائما