BlackMatter-1.png

TryHackMe nous donne accès à une machine Windows

BlackMatter-2.png

Contient Procdot: https://www.procdot.com/downloadprocdotbinaries.htm

BlackMatter-3.png

et des fichiers à analyser

BlackMatter-4.png

Analysis

Provide the two PIDs spawned from the malicious executable. (In the order as they appear in the analysis tool)

Lancer ProcDot

BlackMatter-5.png

Spécifier l’emplacement du fichier de log et chercher un launcher (… a droite de ‘Launcher’)

BlackMatter-6.png

Une fois terminé, nous avons une liste de process:

BlackMatter-7.png

En regardant les process on trouve 2 processus exploreer.exe avec une belle erreur de typo :)

BlackMatter-8.png

BlackMatter-9.png

Ces process sont générés par le ransomware.

Provide the full path where the ransomware initially got executed? (Include the full path in your answer)

Dans les process, selectionner System

BlackMatter-10.png

Faire un ‘Refresh’

BlackMatter-11.png

On obtient un graph

BlackMatter-12.png

Zoomer et chercher le premier ‘exploreer.exe’, clic droit ‘Details’

BlackMatter-13.png

BlackMatter-14.png

This ransomware transfers the information about the compromised system and the encryption results to two domains over HTTP POST. What are the two C2 domains? (no space in the answer)

Regarder l’autre process ‘exploreer.exe’

BlackMatter-15.png

On voit que ce process est lié à 2 IP: 146[.]112.61.108 et 206[.]188.197.206

Ouvrir le pcap dans Wireshark et filtrer: http.request.method=="POST"

BlackMatter-16.png

View > Name Resolution > Resolve Network Addresses

BlackMatter-17.png

BlackMatter-18.png

Pour la 2eme IP on peut utiliser Virus Total

BlackMatter-19.png

Selon les infos données dans VT il s’agirait du Ransomware BlackMatter

BlackMatter-20.png

“In late July, a new RaaS appeared on the scene. Calling itself BlackMatter, the ransomware claims to fill the void left by DarkSide and REvil – adopting the best tools and techniques from each of them, as well as from the still-active LockBit 2.0.”

BlackMatter-21.png

Source: https://news.sophos.com/en-us/2021/08/09/blackmatter-ransomware-emerges-from-the-shadow-of-darkside/

What are the IPs of the malicious domains?

Voir analyse précédente

Provide the user-agent used to transfer the encrypted data to the C2 channel. 

BlackMatter-22.png

Provide the cloud security service that blocked the malicious domain

Follow TCP

BlackMatter-23.png

Provide the name of the bitmap that the ransomware set up as a desktop wallpaper. 

Retourner dans ProcDOT et relancer les process (Launcher …)

Sélectionner le 2eme ‘exploreer.exe’

Refresh

BlackMatter-24.png

En zoomant on trouve ley9kpi9r[.]bmp

BlackMatter-25.png

Find the PID (Process ID) of the process which attempted to change the background wallpaper on the victim’s machine.

BlackMatter-26.png

En suivant les liens, on voit que le process à l’origine du changement du Wallpaper est le 4892

The ransomware mounted a drive and assigned it the letter. Provide the registry key path to the mounted drive, including the drive letter.

BlackMatter-27.png

Clic droit, Details

BlackMatter-28.png

Poursuivez avec :

CC-BY

This work is licensed under a Creative Commons Attribution 4.0 International License.