FCSC 2023 - La gazette de Windows

La gazette de Windows
Catégorie : Intro - forensics
Énoncé
Il semblerait qu’un utilisateur exécute des scripts Powershell suspects sur sa machine. Heureusement cette machine est journalisée et nous avons pu récupérer le journal d’évènements Powershell. Retrouvez ce qui a été envoyé à l’attaquant.
SHA256(Microsoft-Windows-PowerShell%4Operational.evtx) = 770b92f7c98ffb708c3e364753ee4bb569ccc810dd5891cbaf1363c2063ddd78
Solve
On verifie l’intégrité du fichier de log :
|
|
On va utiliser l’outil evtx pour parser les .evtx :
|
|
On sait que des scripts powershell ont été exécutés, on va donc les chercher :
|
|
Au record 1108, le script payload.ps1
est exécuté :
|
|
Au record 1109, on remarque que du powershell issu du script payload.ps1
est exécuté :
|
|
On remet en forme le powershell pour plus de lisibilité :
|
|
Ce code PowerShell se connecte à un serveur distant à l’adresse IP 10.255.255.16
sur le port 1337
en utilisant le protocole TCP. Une fois la connexion établie, le code envoie une chaîne de caractères chiffré au serveur distant, qui est déchiffrée par le serveur. Ensuite, le code attend des commandes de l’utilisateur et les exécute sur le serveur distant.
On a ici un XOR de $l
. Après l’exécution de la boucle for, la $s
contiendra une chaîne de caractères résultant de l’opération XOR entre chaque élément de la liste $l
et sa position dans la liste. Voici la valeur de $s
:
|
|
Flag : FCSC{98c98d98e5a546dcf6b1ea6e47602972ea1ce9ad7262464604753c4f79b3abd3}