Volatility - CheatSheet

Support HackTricks

​​RootedCON είναι η πιο σχετική εκδήλωση κυβερνοασφάλειας στην Ισπανία και μία από τις πιο σημαντικές στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες της τεχνολογίας και της κυβερνοασφάλειας σε κάθε τομέα.

Αν θέλετε κάτι γρήγορο και τρελό που θα εκκινήσει αρκετά plugins του Volatility παράλληλα, μπορείτε να χρησιμοποιήσετε: https://github.com/carlospolop/autoVolatility

python autoVolatility.py -f MEMFILE -d OUT_DIRECTORY -e /home/user/tools/volatility/vol.py # It will use the most important plugins (could use a lot of space depending on the size of the memory)

Εγκατάσταση

volatility3

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py install
python3 vol.py —h

volatility2

Download the executable from https://www.volatilityfoundation.org/26

Εντολές Volatility

Πρόσβαση στην επίσημη τεκμηρίωση στο Volatility command reference

Σημείωση για τα plugins “list” και “scan”

Το Volatility έχει δύο κύριες προσεγγίσεις για τα plugins, οι οποίες μερικές φορές αντικατοπτρίζονται στα ονόματά τους. Τα plugins “list” θα προσπαθήσουν να πλοηγηθούν μέσα από τις δομές του Windows Kernel για να ανακτήσουν πληροφορίες όπως διαδικασίες (να εντοπίσουν και να περιηγηθούν στη συνδεδεμένη λίστα των δομών _EPROCESS στη μνήμη), χειριστές OS (εντοπισμός και καταγραφή του πίνακα χειριστών, αποαναφορά οποιωνδήποτε δεικτών βρεθούν, κ.λπ.). Συμπεριφέρονται περισσότερο ή λιγότερο όπως θα έκανε το Windows API αν ζητούνταν, για παράδειγμα, να καταγράψει διαδικασίες.

Αυτό καθιστά τα plugins “list” αρκετά γρήγορα, αλλά εξίσου ευάλωτα όπως το Windows API σε χειρισμούς από κακόβουλο λογισμικό. Για παράδειγμα, αν το κακόβουλο λογισμικό χρησιμοποιήσει DKOM για να αποσυνδέσει μια διαδικασία από τη συνδεδεμένη λίστα _EPROCESS, δεν θα εμφανιστεί στον Διαχειριστή Εργασιών και ούτε θα εμφανιστεί στην pslist.

Τα plugins “scan”, από την άλλη πλευρά, θα ακολουθήσουν μια προσέγγιση παρόμοια με την εκσκαφή της μνήμης για πράγματα που μπορεί να έχουν νόημα όταν αποαναφέρονται ως συγκεκριμένες δομές. Το psscan για παράδειγμα θα διαβάσει τη μνήμη και θα προσπαθήσει να δημιουργήσει αντικείμενα _EPROCESS από αυτήν (χρησιμοποιεί σάρωση pool-tag, η οποία αναζητά 4-byte strings που υποδεικνύουν την παρουσία μιας δομής ενδιαφέροντος). Το πλεονέκτημα είναι ότι μπορεί να ανακαλύψει διαδικασίες που έχουν τερματιστεί, και ακόμη και αν το κακόβουλο λογισμικό παρέμβει στη συνδεδεμένη λίστα _EPROCESS, το plugin θα βρει ακόμα τη δομή που βρίσκεται στη μνήμη (καθώς πρέπει να υπάρχει για να εκτελείται η διαδικασία). Το μειονέκτημα είναι ότι τα plugins “scan” είναι λίγο πιο αργά από τα plugins “list” και μερικές φορές μπορεί να δώσουν ψευδώς θετικά αποτελέσματα (μια διαδικασία που έχει τερματιστεί πολύ καιρό πριν και είχε μέρη της δομής της αντικατασταθεί από άλλες λειτουργίες).

Από: http://tomchop.me/2016/11/21/tutorial-volatility-plugins-malware-analysis/

Προφίλ OS

Volatility3

Όπως εξηγείται μέσα στο readme, πρέπει να τοποθετήσετε τον πίνακα συμβόλων του OS που θέλετε να υποστηρίξετε μέσα στο volatility3/volatility/symbols. Οι πακέτες πίνακα συμβόλων για τα διάφορα λειτουργικά συστήματα είναι διαθέσιμοι για λήψη στο:

Volatility2

Εξωτερικό Προφίλ

Μπορείτε να αποκτήσετε τη λίστα των υποστηριζόμενων προφίλ κάνοντας:

./volatility_2.6_lin64_standalone --info | grep "Profile"

Αν θέλετε να χρησιμοποιήσετε ένα νέο προφίλ που έχετε κατεβάσει (για παράδειγμα ένα linux) πρέπει να δημιουργήσετε κάπου την εξής δομή φακέλων: plugins/overlays/linux και να βάλετε μέσα σε αυτόν τον φάκελο το zip αρχείο που περιέχει το προφίλ. Στη συνέχεια, πάρτε τον αριθμό των προφίλ χρησιμοποιώντας:

./vol --plugins=/home/kali/Desktop/ctfs/final/plugins --info
Volatility Foundation Volatility Framework 2.6


Profiles
--------
LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 - A Profile for Linux CentOS7_3.10.0-123.el7.x86_64_profile x64
VistaSP0x64                                   - A Profile for Windows Vista SP0 x64
VistaSP0x86                                   - A Profile for Windows Vista SP0 x86

Μπορείτε να κατεβάσετε προφίλ Linux και Mac από https://github.com/volatilityfoundation/profiles

Στο προηγούμενο κομμάτι μπορείτε να δείτε ότι το προφίλ ονομάζεται LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64, και μπορείτε να το χρησιμοποιήσετε για να εκτελέσετε κάτι όπως:

./vol -f file.dmp --plugins=. --profile=LinuxCentOS7_3_10_0-123_el7_x86_64_profilex64 linux_netscan

Ανακάλυψη Προφίλ

volatility imageinfo -f file.dmp
volatility kdbgscan -f file.dmp

Διαφορές μεταξύ imageinfo και kdbgscan

Από εδώ: Σε αντίθεση με το imageinfo που απλά παρέχει προτάσεις προφίλ, το kdbgscan έχει σχεδιαστεί για να προσδιορίζει θετικά το σωστό προφίλ και τη σωστή διεύθυνση KDBG (αν υπάρχουν πολλές). Αυτό το plugin σαρώνει για τις υπογραφές KDBGHeader που συνδέονται με τα προφίλ του Volatility και εφαρμόζει ελέγχους εγκυρότητας για να μειώσει τα ψευδώς θετικά αποτελέσματα. Η λεπτομέρεια της εξόδου και ο αριθμός των ελέγχων εγκυρότητας που μπορούν να εκτελούνται εξαρτάται από το αν το Volatility μπορεί να βρει ένα DTB, οπότε αν ήδη γνωρίζετε το σωστό προφίλ (ή αν έχετε μια πρόταση προφίλ από το imageinfo), τότε βεβαιωθείτε ότι το χρησιμοποιείτε από .

Πάντα ρίξτε μια ματιά στον αριθμό διεργασιών που έχει βρει το kdbgscan. Μερικές φορές το imageinfo και το kdbgscan μπορούν να βρουν περισσότερα από ένα κατάλληλα προφίλ αλλά μόνο το έγκυρο θα έχει κάποια διαδικασία σχετική (Αυτό συμβαίνει επειδή για να εξάγουμε διεργασίες χρειάζεται η σωστή διεύθυνση KDBG)

# GOOD
PsActiveProcessHead           : 0xfffff800011977f0 (37 processes)
PsLoadedModuleList            : 0xfffff8000119aae0 (116 modules)
# BAD
PsActiveProcessHead           : 0xfffff800011947f0 (0 processes)
PsLoadedModuleList            : 0xfffff80001197ac0 (0 modules)

KDBG

Το μπλοκ αποσφαλμάτωσης πυρήνα, που αναφέρεται ως KDBG από το Volatility, είναι κρίσιμο για τις εγκληματολογικές εργασίες που εκτελούνται από το Volatility και διάφορους αποσφαλματωτές. Αναγνωρίζεται ως KdDebuggerDataBlock και είναι τύπου _KDDEBUGGER_DATA64, περιέχει βασικές αναφορές όπως το PsActiveProcessHead. Αυτή η συγκεκριμένη αναφορά δείχνει στην κεφαλή της λίστας διεργασιών, επιτρέποντας την καταγραφή όλων των διεργασιών, που είναι θεμελιώδους σημασίας για λεπτομερή ανάλυση μνήμης.

OS Information

#vol3 has a plugin to give OS information (note that imageinfo from vol2 will give you OS info)
./vol.py -f file.dmp windows.info.Info

The plugin banners.Banners μπορεί να χρησιμοποιηθεί στο vol3 για να προσπαθήσει να βρει linux banners στο dump.

Hashes/Passwords

Εξαγάγετε SAM hashes, domain cached credentials και lsa secrets.

./vol.py -f file.dmp windows.hashdump.Hashdump #Grab common windows hashes (SAM+SYSTEM)
./vol.py -f file.dmp windows.cachedump.Cachedump #Grab domain cache hashes inside the registry
./vol.py -f file.dmp windows.lsadump.Lsadump #Grab lsa secrets

Memory Dump

Η μνήμη dump μιας διαδικασίας θα εξάγει τα πάντα από την τρέχουσα κατάσταση της διαδικασίας. Το procdump module θα εξάγει μόνο τον κώδικα.

volatility -f file.dmp --profile=Win7SP1x86 memdump -p 2168 -D conhost/

​​​RootedCON είναι η πιο σχετική εκδήλωση κυβερνοασφάλειας στην Ισπανία και μία από τις πιο σημαντικές στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένα καυτό σημείο συνάντησης για επαγγελματίες της τεχνολογίας και της κυβερνοασφάλειας σε κάθε πειθαρχία.

Διαδικασίες

Λίστα διαδικασιών

Προσπαθήστε να βρείτε ύποπτες διαδικασίες (κατά όνομα) ή αναμενόμενες παιδικές διαδικασίες (για παράδειγμα μια cmd.exe ως παιδί της iexplorer.exe). Θα μπορούσε να είναι ενδιαφέρον να συγκρίνετε το αποτέλεσμα του pslist με αυτό του psscan για να εντοπίσετε κρυφές διαδικασίες.

python3 vol.py -f file.dmp windows.pstree.PsTree # Get processes tree (not hidden)
python3 vol.py -f file.dmp windows.pslist.PsList # Get process list (EPROCESS)
python3 vol.py -f file.dmp windows.psscan.PsScan # Get hidden process list(malware)

Dump proc

./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory

Γραμμή εντολών

Εκτελέστηκε οτιδήποτε ύποπτο;

python3 vol.py -f file.dmp windows.cmdline.CmdLine #Display process command-line arguments

Οι εντολές που εκτελούνται στο cmd.exe διαχειρίζονται από το conhost.exe (ή το csrss.exe σε συστήματα πριν από τα Windows 7). Αυτό σημαίνει ότι αν το cmd.exe τερματιστεί από έναν επιτιθέμενο πριν αποκτηθεί ένα memory dump, είναι ακόμα δυνατό να ανακτηθεί το ιστορικό εντολών της συνεδρίας από τη μνήμη του conhost.exe. Για να το κάνετε αυτό, αν ανιχνευθεί ασυνήθιστη δραστηριότητα μέσα στα modules της κονσόλας, η μνήμη της σχετικής διαδικασίας conhost.exe θα πρέπει να αποθηκευτεί. Στη συνέχεια, αναζητώντας strings μέσα σε αυτό το dump, οι γραμμές εντολών που χρησιμοποιήθηκαν στη συνεδρία μπορούν ενδεχομένως να εξαχθούν.

Περιβάλλον

Αποκτήστε τις μεταβλητές env κάθε εκτελούμενης διαδικασίας. Μπορεί να υπάρχουν μερικές ενδιαφέρουσες τιμές.

python3 vol.py -f file.dmp windows.envars.Envars [--pid <pid>] #Display process environment variables

Δικαιώματα Token

Ελέγξτε για δικαιώματα token σε απροσδόκητες υπηρεσίες. Θα μπορούσε να είναι ενδιαφέρον να καταγράψετε τις διεργασίες που χρησιμοποιούν κάποιο προνομιακό token.

#Get enabled privileges of some processes
python3 vol.py -f file.dmp windows.privileges.Privs [--pid <pid>]
#Get all processes with interesting privileges
python3 vol.py -f file.dmp windows.privileges.Privs | grep "SeImpersonatePrivilege\|SeAssignPrimaryPrivilege\|SeTcbPrivilege\|SeBackupPrivilege\|SeRestorePrivilege\|SeCreateTokenPrivilege\|SeLoadDriverPrivilege\|SeTakeOwnershipPrivilege\|SeDebugPrivilege"

SIDs

Ελέγξτε κάθε SSID που ανήκει σε μια διαδικασία. Θα μπορούσε να είναι ενδιαφέρον να καταγράψετε τις διαδικασίες που χρησιμοποιούν ένα SID με προνόμια (και τις διαδικασίες που χρησιμοποιούν κάποιο SID υπηρεσίας).

./vol.py -f file.dmp windows.getsids.GetSIDs [--pid <pid>] #Get SIDs of processes
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

Χειριστές

Χρήσιμο να γνωρίζουμε σε ποια άλλα αρχεία, κλειδιά, νήματα, διαδικασίες... έχει ένα διαδικασία χειριστή (έχει ανοίξει)

vol.py -f file.dmp windows.handles.Handles [--pid <pid>]

DLLs

./vol.py -f file.dmp windows.dlllist.DllList [--pid <pid>] #List dlls used by each
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --pid <pid> #Dump the .exe and dlls of the process in the current directory process

Σειρές ανά διεργασία

Το Volatility μας επιτρέπει να ελέγξουμε σε ποια διεργασία ανήκει μια σειρά.

strings file.dmp > /tmp/strings.txt
./vol.py -f /tmp/file.dmp windows.strings.Strings --strings-file /tmp/strings.txt

Επιτρέπει επίσης την αναζήτηση για συμβολοσειρές μέσα σε μια διαδικασία χρησιμοποιώντας το module yarascan:

./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-rules "https://" --pid 3692 3840 3976 3312 3084 2784
./vol.py -f file.dmp yarascan.YaraScan --yara-rules "https://"

UserAssist

Windows παρακολουθεί τα προγράμματα που εκτελείτε χρησιμοποιώντας μια δυνατότητα στο μητρώο που ονομάζεται UserAssist keys. Αυτά τα κλειδιά καταγράφουν πόσες φορές εκτελείται κάθε πρόγραμμα και πότε εκτελέστηκε τελευταία φορά.

./vol.py -f file.dmp windows.registry.userassist.UserAssist

​​​​RootedCON είναι η πιο σχετική εκδήλωση κυβερνοασφάλειας στην Ισπανία και μία από τις πιο σημαντικές στην Ευρώπη. Με την αποστολή της προώθησης της τεχνικής γνώσης, αυτό το συνέδριο είναι ένα βραστό σημείο συνάντησης για επαγγελματίες της τεχνολογίας και της κυβερνοασφάλειας σε κάθε πειθαρχία.

Υπηρεσίες

./vol.py -f file.dmp windows.svcscan.SvcScan #List services
./vol.py -f file.dmp windows.getservicesids.GetServiceSIDs #Get the SID of services

Δίκτυο

./vol.py -f file.dmp windows.netscan.NetScan
#For network info of linux use volatility2

Registry hive

Εκτύπωση διαθέσιμων hives

./vol.py -f file.dmp windows.registry.hivelist.HiveList #List roots
./vol.py -f file.dmp windows.registry.printkey.PrintKey #List roots and get initial subkeys

Πάρε μια τιμή

./vol.py -f file.dmp windows.registry.printkey.PrintKey --key "Software\Microsoft\Windows NT\CurrentVersion"

Dump

#Dump a hive
volatility --profile=Win7SP1x86_23418 hivedump -o 0x9aad6148 -f file.dmp #Offset extracted by hivelist
#Dump all hives
volatility --profile=Win7SP1x86_23418 hivedump -f file.dmp

Σύστημα Αρχείων

Σύνδεση

#See vol2

Σάρωση/εκφόρτωση

./vol.py -f file.dmp windows.filescan.FileScan #Scan for files inside the dump
./vol.py -f file.dmp windows.dumpfiles.DumpFiles --physaddr <0xAAAAA> #Offset from previous command

Master File Table

# I couldn't find any plugin to extract this information in volatility3

Το NTFS file system χρησιμοποιεί ένα κρίσιμο συστατικό γνωστό ως master file table (MFT). Αυτός ο πίνακας περιλαμβάνει τουλάχιστον μία καταχώρηση για κάθε αρχείο σε έναν τόμο, καλύπτοντας και το MFT. Σημαντικές λεπτομέρειες σχετικά με κάθε αρχείο, όπως μέγεθος, χρονικές σφραγίδες, δικαιώματα και πραγματικά δεδομένα, είναι ενσωματωμένες μέσα στις καταχωρήσεις MFT ή σε περιοχές εξωτερικές του MFT αλλά αναφερόμενες από αυτές τις καταχωρήσεις. Περισσότερες λεπτομέρειες μπορούν να βρεθούν στην επίσημη τεκμηρίωση.

SSL Keys/Certs

#vol3 allows to search for certificates inside the registry
./vol.py -f file.dmp windows.registry.certificates.Certificates

Κακόβουλο Λογισμικό

./vol.py -f file.dmp windows.malfind.Malfind [--dump] #Find hidden and injected code, [dump each suspicious section]
#Malfind will search for suspicious structures related to malware
./vol.py -f file.dmp windows.driverirp.DriverIrp #Driver IRP hook detection
./vol.py -f file.dmp windows.ssdt.SSDT #Check system call address from unexpected addresses

./vol.py -f file.dmp linux.check_afinfo.Check_afinfo #Verifies the operation function pointers of network protocols
./vol.py -f file.dmp linux.check_creds.Check_creds #Checks if any processes are sharing credential structures
./vol.py -f file.dmp linux.check_idt.Check_idt #Checks if the IDT has been altered
./vol.py -f file.dmp linux.check_syscall.Check_syscall #Check system call table for hooks
./vol.py -f file.dmp linux.check_modules.Check_modules #Compares module list to sysfs info, if available
./vol.py -f file.dmp linux.tty_check.tty_check #Checks tty devices for hooks

Σάρωση με yara

Χρησιμοποιήστε αυτό το σενάριο για να κατεβάσετε και να συγχωνεύσετε όλους τους κανόνες κακόβουλου λογισμικού yara από το github: https://gist.github.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9 Δημιουργήστε τον φάκελο rules και εκτελέστε το. Αυτό θα δημιουργήσει ένα αρχείο με όνομα malware_rules.yar που περιέχει όλους τους κανόνες yara για κακόβουλο λογισμικό.

wget https://gist.githubusercontent.com/andreafortuna/29c6ea48adf3d45a979a78763cdc7ce9/raw/4ec711d37f1b428b63bed1f786b26a0654aa2f31/malware_yara_rules.py
mkdir rules
python malware_yara_rules.py
#Only Windows
./vol.py -f file.dmp windows.vadyarascan.VadYaraScan --yara-file /tmp/malware_rules.yar
#All
./vol.py -f file.dmp yarascan.YaraScan --yara-file /tmp/malware_rules.yar

ΔΙΑΦΟΡΑ

Εξωτερικά πρόσθετα

Αν θέλετε να χρησιμοποιήσετε εξωτερικά πρόσθετα, βεβαιωθείτε ότι οι φάκελοι που σχετίζονται με τα πρόσθετα είναι η πρώτη παράμετρος που χρησιμοποιείται.

./vol.py --plugin-dirs "/tmp/plugins/" [...]

Autoruns

Κατεβάστε το από https://github.com/tomchop/volatility-autoruns

volatility --plugins=volatility-autoruns/ --profile=WinXPSP2x86 -f file.dmp autoruns

Mutexes

./vol.py -f file.dmp windows.mutantscan.MutantScan

Συμβολικοί Σύνδεσμοι

./vol.py -f file.dmp windows.symlinkscan.SymlinkScan

Bash

Είναι δυνατόν να διαβάσετε από τη μνήμη την ιστορία του bash. Θα μπορούσατε επίσης να εξάγετε το αρχείο .bash_history, αλλά ήταν απενεργοποιημένο, θα είστε ευτυχείς που μπορείτε να χρησιμοποιήσετε αυτό το module του volatility.

./vol.py -f file.dmp linux.bash.Bash

Χρονοδιάγραμμα

./vol.py -f file.dmp timeLiner.TimeLiner

Οδηγοί