2025御网杯决赛-应急篇

应急响应篇

应急响应靶场:

1
某天客户反馈:服务器操作过一段时间就会非常卡,重启以后就会好一段时间并且重要文件被加密破坏;请你按照下面相关提示完成应急响应帮助客户进行安全加固。
1.请你获取攻击者的webshell文件(提交如下例:abc.asp ):

在根目录找到webshell文件

2.请你获取攻击者的webshell密码:

如上图,webshell的密码为hack1234

3.请你获取攻击者的隐藏用户名:

注册表中找到隐藏用户名hack887$

4. 根据内网信息排查,发现攻击者投放了恶意信息收集程序是并且定期执行,排查清理恶意程序并且获取恶意信息收集软件名称(提交如下例:shell ):

根据security.bat文件,查找到了security文件,里面找到了恶意信息收集软件:SharpHunter.exe

5. 请你梳理攻击链路,分析攻击者是如何入侵攻击的(攻击方式英文字母全小写 提交如下例:xxe攻击):

Froc.ini可以确定ftp攻击

6.请你恢复被病毒感染的文件获取到敏感信息flag:(复现)

这个题,断网的情况下应该都做不出来

https://www.bitdefender.com/en-us/blog/labs/new-gandcrab-v5-1-decryptor-available-now

GANDCRAB V5.1勒索病毒,可以出网的话很简单,火绒的工具也可以解密出来

GandCrab勒索病毒专用解密工具 - 火绒安全工具 - 火绒安全软件

勒索信

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
---= GANDCRAB V5.1 =---

************************在任何情况下都请勿删除此文件,直到您的所有数据恢复完毕************************

*****如果出现解密错误,否则将导致您的系统损坏*****

注意!

您的所有文件、文档、照片、数据库和其他重要文件均已加密,扩展名为:.NXGSZAGBX

恢复文件的唯一方法是购买唯一的私钥。只有我们才能提供此密钥,也只有我们才能恢复您的文件。

您的密钥所在的服务器位于一个封闭的 TOR 网络。您可以通过以下方式访问该服务器:

------------------------------------------------------------------------------------

| 0. 下载 Tor 浏览器 - https://www.torproject.org/

| 1. 安装 Tor 浏览器
| 2. 打开 Tor 浏览器
| 3. 在 TOR 浏览器中打开链接:http://gandcrabmfe6mnef.onion/5b84dbc84ed03fa4
| 4. 按照此页面上的说明操作

----------------------------------------------------------------------------------------

在我们的页面上,您将看到付款说明,并有机会免费解密 1 个文件。

注意!

为防止数据损坏:

* 请勿修改加密文件
* 请勿更改以下数据

--- 开始 GANDCRAB密钥---
lAQAAL+EFAWOOiYkVSYNQrDRcjI4jvBDzjfGsZA9ZJDGppx/7HdhB6JB+5OvZjEBUrAAQ901PPMfpO0dwp7EuXxMH0myCGGS2V6GkqMbcHU9AeWZqtwZXVDRO2oYL02SDGFPMKosFVj3m36xsWug6kyfbc93ipmz7h9UC4mq82uW2qc3a/ASzweSXs8DCB5SDDBY8fHNbQ9U6XrLErO2HEZVuIeVVdw8Fz65hiP7T4V8B+DQ8OsUJqw4q6DM4YJdz4Cm3XBsDGvf9f2U/py8 YQRf0SxYJEfjVb+HnaWqLsIosUzKT4b6TQQD6VXTv9EDodWYocFYEGnsp6/n+QQOshT5tm DhykZuFCI6yykY67ETS2UC2B7zN74IPrIu2uZW5gnWJ8MUtPKfPZWC5GmFZEnHc1TMSDhpc DHrivyjpjnTljyA5e/VCkRYJuHq6URfJVZjlqWDrsP6Kg8fJ2PBZcilG/n3jBAvvQFqDsvR BZsSlkFrHvmCHMb45f6cu0Sl7C5wpN212XLpDX+yRoyIY8q5dlVNefKPr680F/QixhpRn29 wLek0RVhMFKdOfY1D8X0AF7DsCqEkuy0i8Sy+L0NQTJCIRNF+RhTamTHI+ToDrIIKChe4n6MJEw1TGtaTvRITmX9h61QhaUdL0gVDf+hToQGSswMUPN9CGUJKkoF+rqePSRfocLw5UnQc Hm09ObhfBsFE/XzQfTD40ZoDiRBm8qmxsDbrl78X+T65sObkzEyWOSkTMQUyn9o29qW2/n2 bEhjqH3w7rkemO+O71v1zqhQvBSZ0JkLal8WahQjyLrAJjidbh3Oydkr/mmiHiQDe1aGtwt SelXvemk3jMU3V8KgNAO7Dv3EhrW9OjDKBU1VmAJvbyy91xVmlVUuZhDFMsM3HUFpnodRj091HXyz41Z95CLj534VgWKrGX8SpVRf1g+g8mQQSGS+lj4EIiioJ/7sgK/QzcBPi1ZR67Sfe +4PJS3cS6A/BN3YvM6iBkFr0rEwOzCm0+8WQ2DkTuZTKJuEV3eU3lPxrUPtWw7XFzYAzxVZ TAD/JF/EwukgeKi4HYDCGhMxzxZG2qY5XyTaLSb1fRnglTla6Ti1aM5s0BEN1ky4sWVKFZ2 FaFMTi2LHmS+Fn6DevgY8aQhfcj1ujtX+t7iJIaialef8gIG0fniCGZXGhLC0n0JntZTpHbohmT40/m8hCZhf8+3tiZUZH8+mSFFqvfpXabQkmBv3ZWvi/iBNPnYX8hi0IkPiW+ND6Y2JeitxRB6Ra8bExOZ/VnqF/GktorQzx/pUpOMEw2y0vjT1Q4+thXRfQv9hhDlT9soTsUYOYX12hHKwRvMgeaEOEVU0MFoDaxvMQRNuBsiTfUcUjWxfurtNRZ+2Vf7kmub2XkY1OzF8YXuGf4 5kYZVrxdMye5d+0tITQRb+LvxafbiVsr3mZFreMNCGqZ+ozkrVwTdU1/C5jUcUovXCmxJC vOvXAV9bfxXpT5nqVwNGYl3JprtIYYll3C3piWlK+7XFzklTFOsXaTS78l28Zp1SavwmzXz e5puuLvVmb6m7ohx/p9G0jspxvwaaD+rV/EvoFbwcx2yKHknDKPNUYRS7N7gt5i44TuXY6rSf1Ce8rUub57SEe2blHDxwHsnJVfJp9PBhqCV5+ik7i12bB6FjqL2/Koh3mf9KXMxhQ0G6B V+sdgFH0USUH/YU9utxKWWqvHUHeX2aV9bPVKKficf7cyttiJrNycq+LY/IxUlQMPkCcwU7Q9+yyn5k3ME63OFdAw2aGFjbxNF4GbEFSi6mNmVONrYbEhbD48oFZWDBB2hmlCUGPEVJrhgtRQF8ACfz1ZcXiVBniW1tF2Y1f/54oSGV3Lg4V/5HgQbvwCpw0CY/gnQYfIANQmHu2Vy9ZXr6Xij2qA9eBS2L/CXCthAUJpD0Lqndc1Hx19panj/0HpZUUWxM+sKw83D+WOA6xin7Qyvj 5LrS7atAD3Sai9/J39wFQ8PG/XVNJjI5ub0ZBNhe8DuBCapucjHk23q2FqngIuqZ80KLAmmMfco7c8imH6XdQH/k9UcedQabLmr1zcx9wV81UWfSEbu+r1fA/nQLB0baCvKJSDahZXglvg+nUGkyZdS5ZxJ0VQFt1Yel7smPI7fZ3+HtP3OF/iu7qjnPa7iD2Md3IBZc2M3cdDcNp8Sogex99p+Q8ze9Ir/ST3XOPepp2NEsyNm9M/giitGnvTGTOe0WMb2lQ0RE0yqPEKMQ=
---结束GANDCRAB 钥匙---

---开始电脑数据---
7ftDEgLb/ZS0lcmZbHM61IDJ6AOtD78KkA7absMgUXYxWLSC+5+UYF9xVmDp9NXJMpC3AuyVp uDERWbIQXQxQ2uay7PGzs8SCuh2aqKXn6bkGOYpfkudIkyglsR+qgzsn0gBXVZiGMFtiWv/h1L jWtNHOyPlMqj77SZ5O803l2bp0LYRTvpXEsvB8dkEsoqHCvUxIKd0RYNBA3M0Ra6NDPBFwyPGB6omZbF1Z/DMBN2jgFT22p34Uwp7yNxcWLkyvIX753xHRnKSMJ+Bl1CzeiCo9FrxnMmZ6V9cSQvO7TAymOH 75oCDGAgpDqjtRW4Vafef001SECCHtOuJI9BOBntq88ZRR7m3ZbHBmdGR3keIP93yqPM3LOfjUaPmr11W4eZ8T0PJifbkLzJ0rvfXS2az16AnoUDFpJ3yPEmxiyg3uazoW1oM6iaVzumrqBpvZ7wCrtMyoi8 O1filQDmQ7qp4Buw7gT6wMEzbb5sfudxQLWCjvriLwAji/TPXKPmgkY3cWOH+vAl7vHei2YFWEvtEvSM9AMzhg9RAIAz1E0HCybeMMJ0F1g4/5uQSe3kEiXTLCqbrMtcXPBSVJMp7Lv8bqgnEcA==
---PC数据结束---

image

解密得到flag

image

1
flag{fngD_vwfW_JTqI_E4Kl}

7.请你对恶意样本(.bat文件)进行分析获取恶意域名:

Securty.bat,确定恶意域名, open pro.csocools.com