Operation Blackout 2025 Phantom Check hayabusa+ControlSet001+VirtualBox
QA
| Q | A |
|---|---|
| 攻击者使用哪个 WMI 类来检索型号和制造商信息以进行虚拟化检测? | Win32_ComputerSystem |
| 攻击者执行了哪个 WMI 查询来检索计算机的当前温度值? | SELECT CurrentTemperature FROM MSAcpi_ThermalZoneTemperature |
| 攻击者加载了 PowerShell 脚本以检测虚拟化。脚本的函数名称是什么? | Get-VirtualizationStatus |
| 上述脚本查询了哪个注册表项来检索用于虚拟化检测的服务详细信息? | HKLM:\SYSTEM\CurrentControlSet\Services |
| VM 检测脚本比较哪些进程以确定系统是否正在运行 VirtualBox? | VBoxService.exe, VBoxTray.exe |
| VM 检测脚本检测到了哪两个虚拟化平台? | VMware, VirtualBox |
TASK1:hayabusa
https://github.com/Yamato-Security/hayabusa/releases/tag/v3.3.0
關鍵字搜尋:“Wmi”
$ hayabusa-3.3.0-win-x64.exe search -f "Microsoft-Windows-Powershell.evtx" -k "Wmi" -J -o "res.json"
Win32_ComputerSystem
TASK2
SELECT * FROM MSAcpi_ThermalZoneTemperature
TASK3
把 PowerShell 事件日誌轉成時間軸(Timeline)CSV 檔案
$ hayabusa-3.3.0-win-x64.exe csv-timeline -f "Windows-Powershell-Operational.evtx" -o "time.csv"
Check-VM
TASK4:虛擬化檢測的服務詳細
$ hayabusa-3.3.0-win-x64.exe search -f "Windows-Powershell-Operational.evtx" -k "HKLM" -J -o "hklm.json"
ControlSet001:系統控制組之一,Windows 通常會保存多組控制組(Control Sets),常見的有 ControlSet001、ControlSet002 等。
Services:包含所有 Windows 服務的設定資料。
HKLM:\SYSTEM\ControlSet001\Services
TASK5:VirtualBox
vboxservice.exe 和 vboxtray.exe 是 VirtualBox 虛擬機中安裝的服務和系統托盤程序,負責虛擬機與宿主機的整合功能,如時間同步和快捷操作,它們的存在通常用來判斷系統是否運行在 VirtualBox 虛擬環境中。
vboxservice.exe, vboxtray.exe
TASK6
Hyper-V, Vmware