TryHackMe(THM):Memory Forensics - akebono-hazeのブログ

Task 1 Introduction
Task 2 Login
- What is John's password?
Task 3 Analysis
- When was the machine last shutdown?
- What did John write?
Task 4 TrueCrypt
- What is the TrueCrypt passphrase?

この記事は、DeepL翻訳を利用して和訳しています。

www.deepl.com

Task 1 Introduction

メモリフォレンジックを行ってフラグを見つけます。

各タスクでダウンロードする添付のvmemファイルのサイズが大きくなっています。

大体1.07GBあります。

参考サイト

Volatilitytility/

github.com

Volatility wiki

github.com

Cheatsheet

book.hacktricks.xyz

現場のフォレンジック調査員は、ジョンのコンピュータの最初のフォレンジック分析を行い、彼がコンピュータ上で生成したメモリ・ダンプをあなたに手渡しました。

第二のフォレンジック調査員であるあなたは、メモリーダンプから必要な情報をすべて見つけ出すことが求められています。

全然わからないので先人の知恵を拝借すると、Volatilityをインストールするようです。以下のURLから自分が使用しているOSのものをダウンロードします。(Zipファイル)

Download the zip from https://www.volatilityfoundation.org/releases

www.volatilityfoundation.org

Linuxでのインストール方法です。

Linux版をダウンロードします。

$ wget http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_lin64_standalone.zip

f:id:akebono-haze:20210711214932p:plain

ダウンロードしたファイルを解凍します。

$ unzip volatility_2.6_lin64_standalone.zip

f:id:akebono-haze:20210711215007p:plain

解凍したファイル群を/usr/lical/binディレクトリへ移動し、実行権限等を付与します。

$ sudo cp volatility_2.6_lin64_standalone/volatility_2.6_lin64_standalone /usr/local/bin/volatility $ sudo chmod +xr /usr/local/bin/volatility

実行してみましたが失敗しました。

$ volatility

f:id:akebono-haze:20210711215100p:plain

What is John's password?

ダウンロードしたファイル「Snapshot6.vmem」のプロパティを把握します。

$ volatility imageinfo -f Snapshot6.vmem

f:id:akebono-haze:20210711215150p:plain

Win7SP1x64としてhash値を出力します。

$ sudo volatility -f Snapshot6.vmem --profile Win7SP1x64 hashdump --output-file=snapshot6.creds

f:id:akebono-haze:20210711215528p:plain

出力されたファイルの中身を確認します。

$ cat snapshot6.creds

Johnのハッシュ値をCrackStationで解析してみます。

crackstation.net

f:id:akebono-haze:20210711215608p:plain

解析できました。

Task 3 Analysis

f:id:akebono-haze:20210711221125p:plain

到着後、容疑者のマシンの写真が撮られましたが、そこにはジョンがコマンドプロンプトのウィンドウを開いていたことが写っていました。

残念ながら写真はあまり鮮明ではなく、ジョンがコマンドプロンプトのウィンドウで何をしていたかはわかりませんでした。

フォレンジックタイムラインを完成させるためには、他にもどんな情報があるのか見ておく必要があります。

ジョンが最後にコンピュータの電源を切ったのはいつですか？

When was the machine last shutdown?

ダウンロードしたファイル「Snapshot19.vmem」をプロパティを確認します。

$ volatility imageinfo -f Snapshot19.vmem

f:id:akebono-haze:20210711220144p:plain

シャットダウンタイムの調査を開始します。

$ sudo volatility -f Snapshot19.vmem shutdowntime --profile Win7SP1x64

f:id:akebono-haze:20210711220311p:plain

解析できました。

What did John write?

consolesオプションで調査します。

$ sudo volatility -f Snapshot19.vmem consoles --profile Win7SP1x64

f:id:akebono-haze:20210711220514p:plain

[別解]クリップボードの内容を調査しても答えが見つかりました。

$ sudo volatility -f Snapshot19.vmem clipboard --profile Win7SP1x64

f:id:akebono-haze:20210711220530p:plain

Task 4 TrueCrypt

f:id:akebono-haze:20210711221154p:plain

フォレンジック調査員の一般的な仕事は、隠されたパーティションや暗号化されたファイルを探すことですが、容疑者のマシンにTrueCryptが見つかり、暗号化されたパーティションが見つかったことで疑いが生じました。

尋問では、容疑者からパスフレーズを聞き出すことはできませんでしたが、容疑者のコンピュータから取得したメモリダンプにパスフレーズが存在する可能性があります。

What is the TrueCrypt passphrase?

ダウンロードしたファイル「Snapshot14.vmem」をプロパティを確認します。

$ volatility imageinfo -f Snapshot14.vmem

f:id:akebono-haze:20210711221226p:plain

volatility -hでオプションを確認すると3つTrueCryptに関連するオプションがありました。

truecryptmaster Recover TrueCrypt 7.1a Master Keys
truecryptpassphrase TrueCrypt Cached Passphrase Finder
truecryptsummary TrueCrypt Summary

1つずつ試していくと「truecryptpassphrase」オプションで解答を得られます。

$ sudo volatility -f Snapshot14.vmem truecryptpassphrase --profile Win7SP1x64

f:id:akebono-haze:20210711221244p:plain

完了！