Memory forensics – TryHackMe room

Intro:

La “stanza” o esercitazione proposta da Tryhackme.com si svolge fondamentalmente in tre step, all’interno dei quali vengono forniti 3 diversi dump di memoria da analizzare per recuperare i flag richiesti.

Quindi, procedete con calma e non partite a scoprire qualsiasi cosa al primo dump ottenuto altrimenti rischiate di non submittare nessun flag! esperienza personale xD!

Detto questo, procediamo con effettuare lo scarico dei dump e affrontiamo il primo flag! ricordatevi di usare i dump corretti per ogni flag!

FLAG 1 – WALKTHROUGH

Effettuato il download del dump viene chiesto di individuare la password dell’utente john.

Ora che strada potremmo prendere per poter risponder al quesito?

Come prima operazione lanciamo volatility e individuiamo il profilo della macchina con il plugin imageinfo:

vol.py -f Snapshot6.vmem imageinfo

profilo: Win7SP1x64 quindi direi che si tratta di una macchina windows 7 64 bit.

Ora potremmo estrarre con il plugin hashdump gli hash memorizzati delle password utente, ricordate sempre di riportare il parametro –profile=XXX altrimenti avrete errori nel lancio del comando:

riconoscere una tipologia di hash analizzando la sola stringa non è per nulla facile, per tanto ricerchiamo la tipologia di hash utilizzata, in questo sappiamo che si tratta di NTLM.

John:1001:aad3b435b51404eeaad3b435b51404ee:47fbd6536d7868c873d5ea455f2fc0c9:::

Ora non ci resta che decifrare l’hash con una wordlist oppure sperare di rinvenire la password in un parametro di un comando cmd o altro.. direi che possiamo tenerli come ultima spiaggia..

procediamo con il cracking dell’hash utilizzando un tool di nome Hashcat..

Prima di tutto isoliamo l’hash di interesse:

47fbd6536d7868c873d5ea455f2fc0c9

Ora, abbiamo bisogno di una wordlist, ovvero una lista di parole i quali hash andranno confrontati con la nostra password con l’obbiettivo di trovarne una corrispondenza.

Molto semplcie e reperibile in giro c’è la lista rockyou.txt.

Scarichiamola e usiamola con Hashcat:

specifichiamo il parametro 1000 per NTLM:

hashcat.exe 47fbd6536d7868c873d5ea455f2fc0c9 rockyou.txt -m 1000 –show

Come si evince dagli screenshot ecco a voi la password: charmander999

Primo flag catturato!

FLAG 2 – WALKTHROUGH

Nella seconda analisi ci vengono poste due domande, la prima quale è stato l’ultimo spegnimento della macchina, e la seconda cosa ha digitato john!

Per la prima domanda possiamo ricorrere a un plugin veramente utile come shutdowntime:

ed eccoci la prima risposta!

Per la seconda dobbiamo usare il plugin cmdscan:

ed ecco la nostra seconda bandiera catturata! La risposta è il contenuto tra le parentesi {} “You_found_me” scritto all’interno del file test.txt. Con un analisi approfondita potremmo pure estrarre il file!

FLAG 3 – WALKTHROUGH

In questa sezione ci viene chiesto di recuperare la password di truecrypt.

Ora facciamo un passo indietro, sappiamo che è usato truecrypt perché ci viene chiesto dalla consegna, ma questa informazione potremmo recuperarla andando ad evidenziare tutti i processi che vengono eseguiti al momento del dump, come? Con i plugin pslist, psscan, pstree.

Eseguiamo pslist:

L’output mostra come esiste un processo con PID 1904 e PPID 1180 in esecuzione nel sistema.

Ai fini del nostro flag può tornarci utile il plugin truecryptpassphrase:

ed ecco l’ultimo flag: “forgetmenot”

Direi che abbiamo completato la stanza con successo recuperando tutte le informazioni utili richieste dai vari dump forniti diversi per ogni fase.

Sapreste indicare ulteriori info o IOC utili per questa analisi forense? Vi lascio qualche spunto, provate netscan, connscan, sockets plugin oppure il comando strings e verificate se è presente qualcosa di strano!

Buon Approfondimento!