Reto Forense – HTB: Export

 

Empezamos extrayendo el archivo: WIN-LQS146OE2S1-20201027-142607.raw

La primera impresión es que tenemos un volcado de memoria, por lo que sacamos el volatility a la palestra y probamos a ver si es posible determinar el perfil del archivo.

Parece que la intuición funciona, tenemos un perfil ganador: Win7SP1x64

Siguiente paso, buscar procesos que se estuvieran ejecutando durante el volcado de memoria y que mejor manera de hacerlo que mediante los módulos: pslist y pstree. Personalmente y a día de hoy me gusta más el segundo.

Me llama la atención los siguientes procesos:

            1.- DumpIt.exe (Pid: 2004 y PPid: 808)

            2.- Cmd.exe (Pid: 1640 y PPid: 808)

Pero siempre que veo en ejecución el proceso: cmd.exe, mi sentido arácnido me alerta, por lo que  paso a comprobar lo que realmente se está ejecutando por consola, para lo cual utilizo el módulo: cmdscan

Al ejecutarlo, se obtiene:

Bueno, bueno, ¡un intento de descarga que si se realizará con éxito se almacenaría en una ruta muy utilizada para ganar persistencia!

Pero lo más curioso es que la URI de la URL tiene formato en base64, probemos a decodificarla.

¡Premio!

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia