Memory Dump Triage / Жадыны талдау

RU — Анализ дампа памяти workstation-04

После инцидента 11 сентября IR-команда сняла дамп памяти workstation-04. Полный raw-дамп (4 ГБ) был запущен через Volatility 3 — ниже выжимка windows.pslist, windows.dlllist и подозрительные строки из windows.malfind.

Process tree (windows.pslist, выжимка)

PID    PPID   ImageFileName     Path
====   ====   ===============   =================================
   4   0      System            -
 320   4      smss.exe          \SystemRoot\System32\smss.exe
 408   320    csrss.exe         C:\Windows\System32\csrss.exe
 464   320    wininit.exe       C:\Windows\System32\wininit.exe
 524   464    services.exe      C:\Windows\System32\services.exe
 612   524    svchost.exe       C:\Windows\System32\svchost.exe
 656   524    svchost.exe       C:\Windows\System32\svchost.exe
 988   524    spoolsv.exe       C:\Windows\System32\spoolsv.exe
1240   524    SearchIndexer     C:\Windows\System32\SearchIndexer.exe
2104   524    OUTLOOK.EXE       C:\Program Files\Microsoft Office\OUTLOOK.EXE
3456   2104   excel.exe         C:\Program Files\Microsoft Office\EXCEL.EXE
4892   524    svchost.exe       C:\Users\Public\svchost.exe     <-- 🛈 unusual path
5012   4892   cmd.exe           C:\Windows\System32\cmd.exe

DLL list для PID 4892 (windows.dlllist, выжимка)

Process: 4892 svchost.exe (C:\Users\Public\svchost.exe)
Loaded modules:
  C:\Windows\System32\ntdll.dll
  C:\Windows\System32\kernel32.dll
  C:\Windows\System32\KernelBase.dll
  C:\Windows\System32\advapi32.dll
  C:\Windows\System32\msvcrt.dll
  C:\Users\Public\mimi.dll                  <-- 🛈 not in System32
  C:\Windows\System32\secur32.dll
  C:\Windows\System32\netapi32.dll

windows.malfind (выжимка)

Process: 4892 svchost.exe
Address  0x00400000 - 0x004FF000
Flags:   RWX     <-- writable + executable
Strings found in injected region:
  "sekurlsa::logonpasswords"
  "lsass.exe"
  "::"
  "krbtgt"
  "DPAPI_SYSTEM"
  "MIMIKATZINJECTEDLSASS"      <-- 🛈 self-id sentinel

Задача

В дампе живёт инжектированный процесс. Найдите его, идентифицируйте инструмент (по имени модуля и характерным строкам), и извлеките sentinel-строку из injected RWX-региона.

Sentinel — это уникальный маркер, который атакующий оставил для собственной отладки. Введите его в форму ниже заглавными буквами без пробелов.

KK — workstation-04 жады дампын талдау

11 қыркүйектегі инциденттен кейін IR командасы workstation-04 жады дампын алыпты. Толық raw-дамп (4 ГБ) Volatility 3 арқылы өңделген — төменде windows.pslist, windows.dlllist және windows.malfind-тан күмәнді жолдардың қысқартылған нұсқасы.

Процесс тізбегі (қысқартылған)

PID    PPID   ImageFileName     Path
====   ====   ===============   =================================
 524   464    services.exe      C:\Windows\System32\services.exe
 612   524    svchost.exe       C:\Windows\System32\svchost.exe
2104   524    OUTLOOK.EXE       C:\Program Files\Microsoft Office\OUTLOOK.EXE
3456   2104   excel.exe         C:\Program Files\Microsoft Office\EXCEL.EXE
4892   524    svchost.exe       C:\Users\Public\svchost.exe     <-- 🛈 ерекше жол
5012   4892   cmd.exe           C:\Windows\System32\cmd.exe

PID 4892 үшін DLL тізімі (қысқартылған)

  C:\Windows\System32\ntdll.dll
  C:\Windows\System32\kernel32.dll
  C:\Users\Public\mimi.dll                  <-- 🛈 System32-де емес
  C:\Windows\System32\secur32.dll

windows.malfind (қысқартылған)

Process: 4892 svchost.exe
Address  0x00400000 - 0x004FF000  RWX
Strings:
  "sekurlsa::logonpasswords"
  "lsass.exe"
  "MIMIKATZINJECTEDLSASS"     <-- 🛈 sentinel

Тапсырма

Дампте инжекцияланған процесс бар. Оны тауып, құралды (модуль атауы мен жолдар бойынша) анықтап, injected RWX аумағынан sentinel-жолды алыңыз.

Sentinel — шабуылдаушының өз жөндеуі үшін қалдырған бірегей маркер. Оны формаға бас әріптермен, бос орынсыз енгізіңіз.

Claim your flag / Получите флаг / Жалаушаны алыңыз

RU: Введите ответ ниже. Сервер вернёт ваш персональный флаг.
KK: Жауапты төменде енгізіңіз. Сервер сізге жеке жалаушаны қайтарады.