Mount ổ lên máy và xem log xem có gì không
Đồng thời đầu bài cũng là một gợi ý rất quan trọng
xem log powershell thì cũng thấy có nhiều các script khác nhau được cảnh báo và thông báo đang bbị remote từ xa
cho thấy đây cũng là một trojan đúng theo tên của đầu bài
Sau khi tìm nguồn gốc của trojan thì nó sinh ra từ chrome
sau khi lấy được file này ra thì check đây là một file cab chứa file ps chạy bên trong
sửa thực thi thành echo để xem thực thi tiếp như thế nào
sau khi thực hiện một lúc thì cuối cùng đã đến đích
đến cuối đọc thì có thấy giải mã và phải đúng computername mới lưu vào trong nên ném lên cyberchef để giải mã
Thấy header rất quen đây là jpg hay jpeg lưu về và đổi extension thôi là nhận được flag
flag: KCSC{Som3one's_thr0ugh1s_KMA_don't_have_researcher?}