Memlabs lab5 – Walkthrough 

Digital Forensics

Memlabs lab5 – Walkthrough 

By Trenton 0

Con la sfida di oggi entriamo nel vivo dei laboratori MemLab, la challenge si presenta articolata e piena di insidie, già dalla presentazione dello Scenario sembra che si tratti di un caso completo … mi aspetto un unione di quelli precedenti..

STAGE 1

Procediamo con lo scarico del sample e recuperiamo l’informazione iniziale, il sistema operativo del target:

Perfetto! ora possiamo inziare la nostra indagine …

Dopo una serie di tentativi e plugin lanciati, finalmente ne trovo uno che da qualche soddisfazione.. iehistory plugin ! Andiamo a vedere l’output:

Interessante… il processo explorer.exe con pid 1396 presente nella lista dei processi in esecuzione ha in memoria un file immagine.. il cui nome ha il sapore di un base64… vediamo di decodificarlo con cyberchef!!

prima Bandiera catturata! flag{!!w3LL_d0n3_St4g3-1_0f_L4B_5_D0n3!!}

STAGE 2

Dall’analisi dei processi troviamo 2 processi sospetti “NOTEPAD.EXE” e “WinRAR.exe”, andiamo un po’ piu a fondo con il plugin pstree in cui vediamo che entrambi i processi sono frutto dell’esecuzione di un processo padre: explorer.exe (PID 1580):

Una strada possibile da percorrrere è quella di visualizzare e investigare i file usati da questi processi quindi procediamo con la scansione dei file in memoria e vediamo se emerge qualcosa di interessante:

vol.py -f MemoryDump_Lab5.raw –profile=Win7SP1x64 filescan > filescan.txt

consultiamo il file di testo e filtriamolo per estensione “.rar”:

Bingo! sembrerebbe un file utile!

Facciamo il dump del file:

vol.py -f MemoryDump_Lab5.raw –profile=Win7SP1x64 dumpfiles -Q 0x000000003eed56f0 -D .

Per aprirlo ci viene chiesta una password, utilizziamo il flag del primo stage come password per estrarre l’archivio!

Bandiera catturata! flag{W1th_th1s_$taGe_2_1s_c0mPL3T3_!!}

STAGE 3

Torniamo alla lista dei processi e appronfondiamo il processo notepad.exe PID 2724 lanciato con explorer:

vol.py -f MemoryDump_Lab5.raw –profile=Win7SP1x64 procdump -p 2724 -D .

Il risultato è un eseguibile:

Ho deciso di utillizare Ghidra (tool usato in ambito malware Analysis per l’analisi statica) per analizzare l’eseguibile:

Analizzando la funzione di “Entry” scorrendo il codice ho trovato il flag finale, risultato della conversione in caratteri di un “indirizzo”.. il risultato è: bi0s{M3m_l4b5_OVeR_!}

Siamo giunti quasi al termine dei Memlabs, la prossima settimana chiudiamo con l’ultima sfida!

A presto!

Share this content:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *