Sysinternals Lab

해당 문제는 CyberDefenders의 Sysinternals Lab 문제에 대한 풀이입니다.

---

1. Challenge description

A user thought they were downloading the SysInternals tool suite and attempted to open it, but the tools did not launch and became inaccessible. Since then, the user has observed that their system has gradually slowed down and become less responsive.

As a SOC Analyst, analyze the artifacts and answer the questions.

 

Q1.
What was the malicious executable file name that the user downloaded?

해당 문제 이미지 파일을 AXIOM으로 import 하는 동안 FTK Imager로 찾을 수 있었다.

Q2.
When was the last time the malicious executable file was modified? 12-hour format

2번 문제는 위 사진의 시간으로 풀 수 있었다.

 

Q3
What is the SHA1 hash value of the malware?

해당 문제는 아주아주 쉬운문제지만 조금 시간이 걸렸다.

axiom을 통해 Sysintersals[1].exe가 악성파일이라는 것을 찾은 뒤 해당 파일의 정보를 .csv로 내보낸다.

그 후 안에 파일을 보면 md5나 sha1 등의 정보를 알 수 있었는데 sha1을 크게 보려고만 하면 잘 안됐다.

그래서 md5값을 virustotal에 넣어봤고 거기서 sha1 값을 알 수 있었다.

 

Q3.
What is the malware's family?

virustotal에서 찾을 수 있었다.

 

Q5.
What is the first mapped domain's Fully Qualified Domain Name (FQDN)?

virustotal에서 RELATIONS 탭에 들어가면 관련 도메인을 찾을 수 있었고 거기서 답을 알 수 있었다.

Q6.
The mapped domain is linked to an IP address. What is that IP address?

파워쉘 로그를 보니 알 수 있었다. 5번도 같이 알 수 있었다.

Q7.
What is the name of the executable dropped by the first-stage executable?

이 문제는 사실 이해가 잘 안가서 힌트를 보았다.

In VirusTotal, check the 'Behavior' tab and observe the 'Process Tree' to track the executables spawned by 'Sysinternals.exe.' 이걸 보고 virustotal을 뒤졌고 아래와 같이 찾을 수 있었다.

Q8.
What is the name of the service installed by 2nd stage executable?

이 문제는 위 사진을 보고 풀 수 있었다.

Q9.
What is the extension of files deleted by the 2nd stage executable?

해당 문제 또한 어떻게 접근해야할지를 몰라 힌트를 보고 따라했다.

vmtoolsIO.exe를 추출했고 strings를 해줬다.

.\strings.exe "C:\Users\vmtoolsIO.exe" > "C:\Users\strings.txt"

그러고 나온 데이터를 확인하니

remove부터 해서 *.pf를 확인할 수 있었다.