🕵️ Sherlock Lab 筆記 — UltraVNC Backdoor Campaign

📌 任務題目與答案

Task 1 — Event ID 11 數量

• 問題：有多少筆 Event ID 11？

• 答案：56

• 解釋：Event ID 11 = FileCreate，紀錄新檔案建立。攻擊者 drop 多個檔案到系統中。

---

Task 2 — 惡意程式

• 答案：
  C:\Users\CyberJunkie\Downloads\Preventivo24.02.14.exe.exe

• 解釋：從 Event ID 1 (Process Create) 得到。此檔案是初始惡意檔，從雲端下載並執行。

---

Task 3 — 惡意檔來源

• 答案：dropbox

• 解釋：攻擊者利用 Dropbox 當作檔案託管來源。

---

Task 4 — Time Stomping 偽造時間

• 答案：2024-01-14 08:10:06

• 解釋：惡意程式將 PDF 檔案時間修改成過去的時間，以規避檢查。

---

Task 5 — once.cmd 位置

• 答案：
  C:\Users\CyberJunkie\AppData\Roaming\Photo and Fax Vn\Photo and vn 1.1.2\install\F97891C\WindowsVolume\Games\once.cmd

---

Task 6 — Dummy Domain 測試連線

• 答案：www.example.com

• 解釋：惡意程式用來檢查網路連線是否可用。

---

Task 7 — 外聯 IP

• 答案：93.184.216.34

• 解釋：惡意程式嘗試連線到此 IP，疑似為 C2 或測試位址。

---

Task 8 — 惡意程式自刪時間

• 解法提示：查找 Event ID 5 (Process Terminate)，並確認該惡意程式的 PID 與時間。

• 2024-02-14 03:41:58

---

📌 Sysmon Event ID 分類速查表

🔎 偵測惡意程式執行相關

• Event ID 1 — Process Create
  → 程式啟動時觸發，包含路徑、命令列、Parent/Child 關係。

• Event ID 5 — Process Terminate
  → 程式結束時觸發。可用來追蹤惡意程式何時自刪或結束。

• Event ID 7 — Image Load
  → DLL 或驅動載入時觸發。可查是否有惡意 DLL Injection。

---

💾 檔案與持久化相關

• Event ID 11 — FileCreate
  → 檔案建立時觸發，常用於找 Dropper 落地檔。

• Event ID 15 — FileCreateStreamHash
  → 建立 Alternate Data Streams (ADS) 時觸發，可偵測隱藏檔案技術。

---

🌐 網路連線相關

• Event ID 3 — Network Connection
  → 每次網路連線建立時觸發，記錄 IP、Port、Process。

• Event ID 22 — DNSEvent
  → DNS 查詢請求，可追蹤惡意程式查詢的 C2 Domain。

---

🔐 登錄與權限操作

• Event ID 13 — RegistryEvent (SetValue)
  → 登錄鍵被修改。可檢測持久化 (Run Key)。

• Event ID 14 — RegistryEvent (DeleteValue)

• Event ID 12 — RegistryEvent (CreateKey)

---

🧩 其他特殊

• Event ID 6 — Driver Load → 驅動載入，可查 rootkit。

• Event ID 10 — Process Access → 進程存取，常見於 Mimikatz 或 LSASS Dump。