Simon 是 Forela 的一名开发人员，他向 CERT 团队通报了他桌面上出现的一条注释。该说明声称他的系统已被破坏，并且西蒙工作站的敏感数据已被收集。犯罪者在他的工作站上进行了数据勒索，现在威胁要在暗网上发布数据，除非他们的要求得到满足。 Simon 的工作站包含多个敏感文件，包括计划的软件项目、内部开发计划和应用程序代码库。威胁情报团队认为威胁行为者犯了一些错误，但他们尚未找到任何联系威胁行为者的方式。该公司的利益相关者坚持要求解决这一事件并恢复所有敏感数据。他们要求在任何情况下都不得泄露数据。作为我们的初级安全分析师，在此案例中，您被分配进行特定类型的 DFIR（数字取证和事件响应）调查。 CERT 负责人在对工作站进行分类后，仅向您提供了 Notepad++ 工件，怀疑攻击者创建了勒索记录并通过手动键盘访问进行了其他活动。您的职责是确定攻击是如何发生的，并找到联系威胁行为者的方法，因为他们不小心锁定了自己的联系信息。

Tasks

1. Task 1: Simon 用于 AWS 操作的脚本的完整路径是什么？
2. Task 2: 攻击者复制了一些程序代码并将其编译在系统上，因为他们知道受害者是一名软件工程师并且拥有所有必要的实用程序。他们这样做是为了融入环境，并且没有携带任何工具。该代码收集敏感数据并准备将其泄露。程序源文件的完整路径是什么？
3. Task 3: 包含所有要泄露的数据的最终存档文件的名称是什么？
4. Task 4: 攻击者最后一次修改程序源文件时的 UTC 时间戳是多少？
5. Task 5: 攻击者在窃取数据后编写了数据勒索记录。攻击者要求付款的加密钱包地址是什么？
6. Task 6: 寻求支持的联系人的电子邮件地址是什么？

分析过程

将文件下载解压之后

$ tree
.
└── C
    └── Users
        └── Simon.stark
            └── AppData
                └── Roaming
                    └── Notepad++
                        ├── backup
                        │   ├── LootAndPurge.java@2023-07-24_145332
                        │   └── YOU HAVE BEEN HACKED.txt@2023-07-24_150548
                        ├── config.xml
                        └── session.xml

只有四个文件

java文件的main函数

public static void main(String[] args) {
    String username = System.getProperty("user.name");
    String desktopDirectory = "C:\\Users\\" + username + "\\Desktop\\";
    List<String> extensions = Arrays.asList("zip", "docx", "ppt", "xls", "md", "txt", "pdf");
    List<File> collectedFiles = new ArrayList<>();

    collectFiles(new File(desktopDirectory), extensions, collectedFiles);

    String zipFilePath = desktopDirectory + "Forela-Dev-Data.zip";
    String password = "sdklY57BLghvyh5FJ#fion_7";

    createZipArchive(collectedFiles, zipFilePath, password);

    System.out.println("Zip archive created successfully at: " + zipFilePath);
}

源码的功能是将用户桌面上的这些后缀的文件打包为压缩包Forela-Dev-Data.zip(Task 3)，密码为sdklY57BLghvyh5FJ#fion_7.
文件YOU HAVE BEEN HACKED.txt@2023-07-24_150548是勒索文件的介绍内容，其中有三个链接

Hello

This note is placed in your desktop and copied to other locations too. You have been hacked and your data has been deleted from your
system. We made copies of your sensitive data and uploaded to our servers. The rule is simple

                                                       YOU PAY US
                                                           AND
                         WE DO NOT RELEASE YOUR COMPANY SECRETS TO PUBLIC AND RETURN YOUR DATA SAFELY TO YOU


Failiure to oblige will result in immediate data leak to the public.



For detailed information and process , Visit any of the below links

i)  https://pastebin.ai/bigbsy36to
ii) https://pastebin.com/xmTkajd5
iii) https://pastecode.io/s/0rqtutec

访问后需要密码，尝试使用压缩包的密码sdklY57BLghvyh5FJ#fion_7,打开后是也是勒索相关的信息

If you are here then you have no other choice then to pay us. Your Sensitive DATA is in our hands and we WILL release it to PUBLIC by midnight if you don't pay us a ransom. 

We want 50000 $ in ETH currency by midnight. This amount is very reasonable as we know FORELA is a multi million dollar company, but since we were able to extort small amount of data, this is our final offer. 

Ethereum wallet : 0xca8fa8f0b631ecdb18cda619c4fc9d197c8affca

Person of contact :  CyberJunkie@mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion

钱包地址为：0xca8fa8f0b631ecdb18cda619c4fc9d197c8affca （Task 5）
联系的邮箱地址为： CyberJunkie@mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion ( Task 6 )

文件config.xml

 <History nbMaxFile="10" inSubMenu="no" customLength="-1">
     <File filename="C:\Program Files\Notepad++\change.log" />
     <File filename="C:\Users\Simon.stark\Documents\Internal-DesktopApp\Prototype-Internal_Login.cs" />
     <File filename="C:\Users\Simon.stark\Documents\Dev-WebServer-BetaProd\dev2prod_fileupload.php" />
     <File filename="C:\Users\Simon.stark\Documents\Internal-DesktopApp\App_init_validation.yml" />
     <File filename="C:\Users\Simon.stark\Documents\Dev_Ops\AWS_objects migration.pl" />
 </History>

C:\Users\Simon.stark\Documents\Dev_Ops\AWS_objects migration.pl为AWS 操作的脚本。（Task 1）
可以使用命令行进行查找--grep -i "aws" -r ./

攻击者的恶意源代码是java程序，同样也可以使用命令行查找--grep -i java -r ./，找到 filename="C:\Users\Simon.stark\Desktop\LootAndPurge.java"(Task 2)

$ grep -i 'time' -r ./ 
backupFilePath="C:\Users\Simon.stark\AppData\Roaming\Notepad++\backup\LootAndPurge.java@2023-07-24_145332" originalFileLastModifTimestamp="-1354503710" originalFileLastModifTimestampHigh="31047188" 

>>> (31047188 * pow(2,32)) + (pow(2,32) - 1354503710)
>>> 133346660033227234

java文件的修改时间
相关链接1
相关链接2
时间戳转换网站

2023-07-24 09:53:23 (Task 4)

总结

不难，就时间转换有点xx。