知攻善防实验室 Windows 应急响应——近源渗透

题目

小王从某安全大厂被优化掉后，来到了某私立小学当起了计算机老师。某一天上课的时候，发现鼠标在自己动弹，又发现除了某台电脑，其他电脑连不上网络。感觉肯定有学生捣乱，于是开启了应急

应急响应

攻击者的外网 IP 地址（病毒文件分析）

在桌面上发现可疑文件，题目提示了是近源，所以可以排除 Web

同时靶机又没有通讯软件和邮件，排除钓鱼

桌面上有 Word，结合学生上传 Word 交作业场景推测有宏病毒

将桌面上的 Word 文件全部打包成压缩包共享出来

访问复制

微步云沙箱检测识别出木马

拿到其 IP 地址

攻击者的内网跳板 IP 地址（病毒文件分析）

在桌面上发现一个图标为 bat 的 phpStudy-修复 文件

右键属性发现是链接的一个 test.bat

复制路径去查找，发现是隐藏文件，右键属性设置下就好

右键编辑拿到 IP 地址

攻击者使用的限速软件（可疑文件查找）

在 C 盘 /Perflogs 文件夹中发现有个文件夹一直循环，一直往里翻找到限速软件

攻击者的后门（可疑文件查找）

在 C:\Windows\System32 目录下发现了一个用 python 写的 exe 文件

微步识别为可疑文件

CTF

攻击者留下的 flag（可疑文件查找）