数字取证- Log4jShell
发布网友
共1个回答
热心网友
计算机主机名是什么?
计算机主机名位于System注册表单元中,其值保存在System \ControlSet001\Control\ComputerName\ComputerName中。
主机名是VCW65
被入侵机器的时区是什么?
必须查找位于SYSTEM\ControlSet001\Control\TimeZoneInformation中的时区信息。
时区是太平洋标准时间,转换为UTC-8时间。
系统上的当前构建号是多少?
查找存储在SOFTWARE\Microsoft\WindowsNT\CurrentVersion中的系统信息,可以看到构建号是14393
计算机的IP是什么?
我们寻找网络信息和接口。首先,我们必须识别位于SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards的物理网卡。和。我们可以看到一个物理卡是{82E90056-FD8D-4A24-913A-FC46F535FDDF}
深入研究系统注册表hive System \ControlSet001\Services\Tcpip\Parameters\Interfaces\{82E90056-FD8D-4A24-913A-FC46F535FDDF}中的网络接口配置。
计算机IP地址为192.168.112.139
分配给域计算机的是什么?
查找位于SYSTEM\ControlSet001\Services\Tcpip\Parameters\的网络连接域
域是cyberdefenders.org
myoussef用户是什么时候创建的?
关于用户信息,我们必须寻找安全帐户管理器(SAM)。SAM文件位于“%SystemRoot%\system32\config”目录下,受Windows操作系统保护,防止非法访问。它存储本地机器上所有用户帐户的密码散列,包括内置的管理员帐户。
日志含义创建用户的时间为2017-12-28 06:57:23 UTC。
用户mhasan密码提示是什么?
查找存储在用户的SAM注册表单元中的用户密码信息。从RegRipper.exe中获益,将SAM注册表单元解析为文本文件。
密码提示为 linkedin.com/in/0xmoham...
机器上安装的VMware产品的版本是什么?
如何获取已安装的软件版本?我们寻找一个卸载注册表项,其应用程序属性位于SYSTEM\Microsoft\Windows\CurrentVersion\uninstall。
经过检查,可以看到VMware产品,“VMware-vcs”,版本为6.7.0.40322
安装的VMware产品使用的log4j库的版本是什么?
让我们看看log4j API库,我们可以发现VMware的核心产品版本是2.11.2
配置文件中指定的log4j库日志级别是什么?
查找log4j配置文件,它是installer-log4j-properties。日志级别是指日志信息的严重程度或重要程度。它决定了应用程序将记录的消息的粒度。Log4j提供了几个日志级别,可用于根据其重要性对日志语句进行分类。
从FTK Imager中可以看到,日志级别为INFO,用于提供有关应用程序执行的信息消息。它表示正常的操作消息,不表示错误或警告。
用于注入有效载荷的HTTP头是什么?
老实说,我不知道应该寻找关于HTTP登录请求,所以我使用提示“Google vcenter log4j exploit”.
下面的信息引起了我的兴趣,HTTP报头是X-Forwarded-For
log4shell.huntress.com有效载荷的第一个链接是什么?
在VMwareSTSService文件夹下查找websso.log文件,并将其导出为文本文件。
有效载荷的第一个链接是log4shell.huntress.com:13/ b1292f3c-a652-4240-8fb4-59c43141f55a
第一次成功登录vsphere WebClient是什么时候?
查找audit_event日志文件,第一次成功登录是在12/28/2021 20:39:29 UTC
攻击者的IP地址是什么?
查找网络连接,将客户端IP 192.168.112.128视为攻击者的IP地址。
攻击者用来接收cobalt strike reverse shell的端口是什么?
通过执行保存的powershell脚本,有一个连接端口为“192.168.112.128:1337”的主机。使用FakeNet应用程序监控连接。
VMware发布的缓解log4shell漏洞的脚本名称是什么?
搜索VMware log4shell缓解,脚本名称为vc_log4j_mitigator.py
什么是所需的系统属性设置为“true”解决log4shell漏洞?
设置为“Ture”的系统属性是log4j2.formatMsgNoLookups
包含CVE-2021–44228补丁的log4j版本是什么?
版本2.15.0
删除jndillookup .class可能有助于减轻log4shell。JNDILookup.class的sha256哈希值是多少?
分析.jar文件提取jndillookup .class函数,使用7-zip应用程序解压缩log4j-core-2.11.2,然后使用PowerShell“get-filehash”获取哈希值。
SHA256哈希:0F038A1E0AA0AFF76D66D1440C88A2B35A3D023AD8B2E3BAC8E25A3208499F7E
存储在CONTAINER_JNDI_RESOURCE_PATH_PREFIX变量中的值是什么?
使用javap分析jndillookup .class,可以看到CONTAINER_JNDI_RESOURCE_PATH_PREFIX中的存储值是java:comp/env/
攻击者用来获得持久性的可执行文件是什么?
持久性可执行文件是baaaackdoor .exe
第一次向Virustotal提交勒索软件是什么时候?
上传应用程序“khonari.exe”到virustotal,可以看到第一次提交是2021-12-11 22:57:01 UTC
勒索软件从外部服务器下载文本文件。用来解密URL的密钥是什么?
通过dnSpy反汇编khonsari应用程序并通过“入口点”,可以看到解密密钥是GoaahQrC
拥有提供文本文件的IP的ISP是什么?
执行勒索软件应用程序“khonsari”时,监控网络连接,有一个对主机“3.145.115.94”的HTTP GET请求以获取文本文件。查找3.145.115.94,这个ISP是亚马逊
勒索软件检查的第二个扩展名是什么?
勒索软件在加密之前会检查文件的扩展名,如果文件以“.khonsari”、“.ini”和“ink”结尾,则会跳过加密。第二个扩展名是“ini”。 Khonsari: New Ransomware Delivered Through Log4Shell
