PC3涉及题目
PC03:攻击者最早通过哪种方式获取了机器权限?( )
A、远程登录(RDP登录)
B、主机系统漏洞
C、软件服务漏洞
D、钓鱼
E、物理访问
F、内网横向手段
G、低权限账户提权
H、未获取到主机权限
PC03:攻击者投放勒索病毒的时间?
答:
PC03:攻击者第一次获取权限的时间和方式?
答:
PC03:攻击者投放病毒前,最近一次获取权限的时间和方式?
答:
|
区域 |
主机名 |
IP地址 |
系统登录信息 |
服务信息 |
|
A |
PC03(win7) |
192.168.201.113 |
PC03\administrator:testpc03. |
对PC3的自启动项排查发现存在Fast.exe,
并修改了修改时间,文件最早还是在3/17
Fast.exe是勒索病毒
对服务项进行排查 发现存在两个可能异常的服务项
这两个服务项皆为恶意文件
勒索文件时间
对其他文件排查时发现存在目录扫描和fscan的工具的使用
并在websever2上的服务日志上找到PC3的攻击行为,说明在勒索病毒之前已经失控
在administrator的文件夹中找到相关工具
通过工具发现勒索程序是使用PC03$ 隐藏用户进行登录期间使用了向日葵远程工具
登录Administrator账号使用御剑和fscan工具
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
