向黑灰产宣战！

免责声明

由于传播、利用本公众号"零漏安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"零漏安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢！

9月14日，由中国计算机行业协会黑灰产检测与反制工作委员会（以下简称“工委会”）、山东省互联网协会和浙江省互联网协会联合主办的2025黑灰产检测技能大赛初赛取得圆满成功。本次大赛以技术实战为导向，采用积分制竞赛规则，设置了黑灰产技术反制赛道、反欺诈追踪与溯源分析两个赛道，涵盖了逆向分析、业务安全、环境伪造与风控对抗、数字取证、开源情报研判与溯源、黑产数据挖掘与团伙画像六大竞技主题，吸引了来自全国公安、基础电信企业、金融、教育等各行业领域单位、黑灰产检测技术研究者和个人爱好者等200支队伍近500名专业选手报名参赛。！

有一个 vbs 脚本触发了 Windows Defender 查杀。这个文件的完整文件名是什么？请将文件名计算 md5 后进行提交

winlog.provider_name:"Microsoft-Windows-Windows Defender" AND winlog.event_id:1116 AND (process.name:wscript.exe OR process.name:cscript.exe OR process.command_line:*.vbs OR message:*.vbs*)

md5一下得出答案

也可以直接搜索vbs，就是需要花费一些时间查找

嫌疑人在受害者电脑上执行了恶意 vbs 脚本、受害者电脑“上线”了。请找出 vbs 脚本通联的 IP 与端口。答案提交格式 flag{md5(ip:port)}

查找主机名为braavos并且筛选出日志中 network 下的任意字段有值和筛选出有目标 IP 字段的日志

host.name:"braavos" AND (network.*:*) AND destination.ip:*

跟第一题联系一下时间，就可以得到答案了

嫌疑人使用了什么工具成功的将权限提升至了 "nt authoritysystem" 权限。请将完整的文件名计算 md5 值后作为 flag 提交。提交格式flag{md5(filename)}

常用的工具直接正则一下就好了，最后出来应该是juicypotato

工具就那么几个，正则下就好了，也是很简单

(message : *mimikatz* OR message : *JuicyPotato* OR message : *PrintSpoofer* OR message : *procdump* OR message : *psexec* OR message : *Invoke-PrivilegeEscalation*)

嫌疑人使用了什么工具进行隧道代理。请将完整的文件名计算 md5 值后作为 flag 提交。提交格式为：flag{md5(filename)}

跟第一问和第二问联系一下，找到主机名为braavos并且ip为172.30.143.124的进程

host.name : "braavos" AND process.command_line : *172.30.143.124*

很明显的tcp隧道/代理连接行为

嫌疑人创建一个恶意用户、请将用户名计算 md5 后作为 flag 提交提交格式为 flag{md5(name)} user name

在 Windows 系统里，这类事件通常会记录在安全日志 / process / command_line / Windows Event ID 4720（新用户创建）或者通过命令行工具（net user / powershell New-LocalUser）执行

查找4720并且主机名为braavos的

嫌疑人使用了xp_cmdshell 横向移动到了另外一台服务器、获取了 sql_svc 账号的访问权限。该服务器的IP地址是什么。请将IP地址计算 md5 值后作为 flag 提交、提交格式为 flag{md5(ip)

直接搜索就好了，也比较简单

嫌疑人通过该 ip 的 web 上传了一个 webshell。请将该文件的文件名(不需要文件后缀)、计算 md5 并作为 flag 提交。提交格式: flag{md5(filename)}

上传webshell的话一般都是post方式

找IP为192.168.56.22并且通过post方式上传的包

destination.ip : "192.168.56.22" AND http.request.method : "POST"

有多少个域? 请将域名整理并计算 md5 值进行提交。提交格式为:flag{md5(domain1_domain2_domain3)}

winlog.event_data.TargetDomainName: *

三个local秒了

嫌疑人使用了什么应用程序来枚举 AD 域。请将文件名计算 md5 作为 flag 提交、提交格式为 flag{md5(filename)}

就那么几个工具，正则一下就好了

(process.command_line : "*adfind*" OR process.command_line : "*SharpHound*" OR process.command_line : "*SharpHound.exe*" ORprocess.command_line : "*SharpHound.ps1*" OR process.command_line : "*PowerView*" OR process.command_line : "*Get-NetUser*" ORprocess.command_line : "*ldapdomaindump*" OR process.command_line : "*dsquery*" OR process.command_line : "*nltest*" ORprocess.command_line : "*net user*" OR process.command_line : "*net group*" OR process.command_line : "*whoami /all*" ORprocess.command_line : "*netdom*" OR process.command_line : "*ldapsearch*" ORprocess.name : "adfind.exe" OR process.name : "SharpHound.exe" OR process.name : "nltest.exe" ORprocess.name : "dsquery.exe" OR process.name : "net.exe" OR process.name : "whoami.exe" ORmessage : "*adfind*" OR message : "*SharpHound*" OR message : "*PowerView*" OR message : "*Get-NetUser*" OR message : "*ldapdomaindump*")

在使用 smbexec 获取 192.168.56.11 的访问权限后、窃取了某个用户目录下的机密文件、请将文件的绝对路径值计算 md5 作为 flag 提交

我们只用关注窃取的机密文件，所以直接模糊匹配一下文件的后缀就好了

file.name : * .zip* or *.rar*  or *.7z* or *txt*

很明显的password

Windows Defender Antivirus（微软防病毒引擎）对恶意软件进行了隔离操作；请找出被隔离的数目和在C:Windows 目录下的程序名称。提交格式为 flag{md5(日志条数 _a.exe_b.exe)}

先匹配一下Windows defender，在匹配一下隔离操作1007, 1008, 1116, 1117, 1118, 1119（这些 event_id 在 Defender 日志里对应 检测/隔离/移除恶意软件 的操作(winlog.provider_name : "Microsoft-Windows-Windows Defender"OR event.module : "windows"OR message : "*Windows Defender*")AND (winlog.event_id : 1007 OR winlog.event_id : 1008 OR winlog.event_id : 1116 OR winlog.event_id : 1117 OR winlog.event_id : 1118 ORwinlog.event_id : 1119OR message : "*quarantine*" OR message : "*quarantin*" OR message : "*quarantined*" OR message : "*quarantine action*")

这个要多试试，匹配出来的有十个左右，多试一下

已识别的威胁名称是什么，提交格式为 flag{md5(name)}

模糊匹配一下就好了

message : "*Trojan*" OR message : "*Worm*" OR message : "*Virus*" OR message : "*Ransomware*" OR message : "*Backdoor*" OR message : "*PUP*"

恶意的 vbs 脚本的文件SHA256 hash是什么，提交格式为flag{md5(sha256)}

直接匹配，发现有两个，试一试就好了

 file.hash.sha256 : *

最后试出来是这个

嫌疑人使用"sql_svc"用户执行了一个下载恶意文件的命令、命令的完整内容是什么，提交格式为 flag{md5(完整命令)}

正则+模糊去匹配一下

host.name:"braavos" AND (network.*:*) AND destination.ip:* 0

smbexec 执行时创建的服务名称是什么。提交格式为 flag{md5(service1_service2)}

查 System 事件 7045（Service installed）里的 ServiceName / ImagePath / ServiceType 字段；或查 process.command_line / process.executable 有 sc create / sc.exe create / CreateService / net start / srvctl 等；或在目标主机上用 PowerShell 查询最近创建的服务记录

作者：晨星安全团队--rokki3

长按二维码识别关注