HTB Sherlock - Heartbreaker Writeup

Celem tego zadania jest znalezienie wszystkich artefaktów związanych z incydentem bezpieczeństwa. Klient został poinformowany o możliwym naruszeniu ich bazy danych, z informacjami rzekomo krążącymi na darknet. Jako odpowiedzialny za reagowanie na incydenty, Twoim zadaniem jest przeprowadzenie dochodzenia w sprawie e-maila otrzymanego przez jednego z pracowników, zrozumienie implikacji oraz odkrycie powiązań z naruszeniem danych. Skoncentruj się na analizie artefaktów dostarczonych przez klienta, aby zidentyfikować znaczące wydarzenia na komputerze ofiary.

HTB Sherlock - Heartbreaker Writeup

Scenariusz Zadania

Ostrzeżenie o delikatnej sytuacji! Klient został właśnie poinformowany o niepokojących raportach wskazujących na potencjalne naruszenie ich bazy danych, z informacjami rzekomo krążącymi na rynku darknet. Jako odpowiedzialny za reagowanie na incydenty, Twoim zadaniem jest dojście do sedna sprawy. Musisz przeprowadzić dochodzenie w sprawie e-maila otrzymanego przez jednego z ich pracowników, zrozumieć implikacje i odkryć wszelkie możliwe powiązania z naruszeniem danych. Skoncentruj się na analizie artefaktów dostarczonych przez klienta, aby zidentyfikować znaczące wydarzenia, które miały miejsce na komputerze ofiary.

Rozwiązanie

Zadanie 1

Ofiara otrzymała e-mail od niezidentyfikowanego nadawcy. Jaki adres e-mail został użyty do wysłania podejrzanego e-maila? (ang. The victim received an email from an unidentified sender. What email address was used for the suspicious email?)

W katalogu wb-ws-01/C/Users/ash.williams/AppData/Local/Microsoft/Outlook/ znajduje się plik: [email protected]. Do analizy pliku wykorzystałem program pffexport. Następnie przejrzałem otrzymane przez użytkownika wszystkie wiadomości i znalazłem tę, która zawierała podejrzaną wiadomość (Rys 1).

Rys. 1. Mail atakującego.
Rys. 1. Mail atakującego.

Odpowiedź: [email protected]

Zadanie 2

Wygląda na to, że w e-mailu znajduje się link. Czy możesz podać pełny adres URL, pod którym był hostowany złośliwy plik binarny? (ang. It appears there’s a link within the email. Can you provide the complete URL where the malicious binary file was hosted?)

W tym samym katalogu znajdowała się również wiadomość (Rys 2).

Rys. 2. Adres, z którego zostało pobrane złośliwe oprogramowanie.
Rys. 2. Adres, z którego zostało pobrane złośliwe oprogramowanie.

Odpowiedź: http://44.206.187.144:9000/Superstar_MemberCard.tiff.exe

Zadanie 3

Aktor zagrożenia zdołał zidentyfikować dane uwierzytelniające AWS ofiary. Z jakiego typu pliku aktor zagrożenia wyciągnął te dane uwierzytelniające? (ang. The threat actor managed to identify the victim’s AWS credentials. From which file type did the threat actor extract these credentials?)

Dalsze przeszukiwanie skrzynki pozwoliło na odnalezienie danych AWS (Rys 3).

Rys. 3. Plik, w którym wykryte zostały dane uwierzytelniające AWS.
Rys. 3. Plik, w którym wykryte zostały dane uwierzytelniające AWS.

Odpowiedź: .ost

Zadanie 4

Podaj rzeczywiste dane uwierzytelniające IAM ofiary znalezione w artefaktach. (ang. Provide the actual IAM credentials of the victim found within the artifacts.)

Odczytanie wiadomości z poprzedniego zadania.

Odpowiedź: AKIA52GPOBQCK73P2PXL:OFqG/yLZYaudty0Rma6arxVuHFTGQuM6St8SWySj

Zadanie 5

Kiedy (UTC) został aktywowany złośliwy plik binarny na stacji roboczej ofiary? (ang. When (UTC) was the malicious binary activated on the victim’s workstation?)

W katalogu wb-ws-01/C/Windows/prefetch znajduje się plik SUPERSTAR_MEMBERCARD.TIFF.EXE-C2488B05.pf. Aby pobrać dane z pliku prefetch, użyłem następującego polecenia PECmd.exe (Rys 4).

Rys. 4. Dane zawarte w pliku prefetch.
Rys. 4. Dane zawarte w pliku prefetch.

Odpowiedź: 2024-03-13 10:45:02

Zadanie 6

Po pobraniu i uruchomieniu pliku binarnego, ofiara próbowała wyszukać w internecie określone słowa kluczowe. Jakie to były słowa kluczowe? (ang. Following the download and execution of the binary file, the victim attempted to search for specific keywords on the internet. What were those keywords?)

Najpierw sprawdziłem słowa kluczowe w przeglądarce Edge (Rys 5). Historia była zawarta w pliku: wb-ws-01/C/Users/ash.williams/AppData/Local/Microsoft/Edge/User Data/Default/History. Ona zaprowadziła mnie do tego, że użytkownik korzystał z Firefoxa. W pliku wb-ws-01/C/Users/ash.williams/AppData/Roaming/Mozilla/Firefox/Profiles/hy42b1gc.default-release/formhistory.sqlite znalazłem poniższe wyszukiwania (Rys 6).

Rys. 5. Historia przeglądarki Edge.
Rys. 5. Historia przeglądarki Edge.
Rys. 6. Historia przeglądarki Firefox.
Rys. 6. Historia przeglądarki Firefox.

Odpowiedź: superstar cafe membership

Zadanie 7

O której godzinie (UTC) złośliwy plik binarny pomyślnie wysłał identyczny złośliwy e-mail z komputera ofiary do wszystkich kontaktów? (ang. At what time (UTC) did the binary successfully send an identical malicious email from the victim’s machine to all the contacts?)

Wracamy do naszej skrzynki pocztowej i sprawdzamy wysłane maile od użytkownika.

Rys. 7. Znaleziony załącznik wysłany do wszystkich kontaktów.
Rys. 7. Znaleziony załącznik wysłany do wszystkich kontaktów.
Rys. 8. Metadane wysłanej wiadomości.
Rys. 8. Metadane wysłanej wiadomości.

Odpowiedź: 2024-03-13 10:47:51

Zadanie 8

Ilu odbiorców było celem dystrybucji wspomnianego e-maila, z wyłączeniem konta e-mail ofiary? (ang. How many recipients were targeted by the distribution of the said email excluding the victim’s email account?)

Z poprzedniego pliku znamy liczbę odbiorców.

Odpowiedź: 58

Zadanie 9

Jaki legalny program został wykorzystany do uzyskania szczegółowych informacji dotyczących kontrolera domeny? (ang. Which legitimate program was utilized to obtain details regarding the domain controller?)

Za pomocą polecenia ./target/release/chainsaw search --skip-errors "Superstar_MemberCard.tiff.exe" wb-ws-01/C/ wyszukałem wszystkie eventy powiązane ze złośliwym oprogramowaniem. Prześledzenie wykrytych eventów pozwoliło na znalezienie programu (Rys 9).

Rys. 9. Znaleziony event log zawierający nazwę programu.
Rys. 9. Znaleziony event log zawierający nazwę programu.

Odpowiedź: nltest.exe

Zadanie 10

Określ domenę (wraz z subdomeną, jeśli dotyczy), która została użyta do pobrania narzędzia do eksfiltracji danych. (ang. Specify the domain (including sub-domain if applicable) that was used to download the tool for exfiltration.)

Z wykrytych powiązanych eventów z poprzedniego zadania (Rys 10).

Rys. 10. Znaleziony event log zawierający domenę.
Rys. 10. Znaleziony event log zawierający domenę.

Odpowiedź: us.softradar.com

Zadanie 11

Przestępca próbował ukryć narzędzie, aby uniknąć podejrzeń. Czy możesz podać nazwę folderu użytego do przechowywania i ukrycia programu do transferu plików? (ang. The threat actor attempted to conceal the tool to elude suspicion. Can you specify the name of the folder used to store and hide the file transfer program?)

Z wykrytych powiązanych eventów z zadania 9 (Rys 11).

Rys. 11. Znaleziony event log zawierający nazwę katalogu.
Rys. 11. Znaleziony event log zawierający nazwę katalogu.

Odpowiedź: HelpDesk-Tools

Zadanie 12

Pod którą technikę MITRE ATT&CK podlega działanie opisane w zadaniu #11? (ang. Under which MITRE ATT&CK technique does the action described in question #11 fall?)

Google :)

Odpowiedź: Masquerading

Zadanie 13

Czy możesz określić minimalną liczbę plików, które zostały skompresowane przed ich wyodrębnieniem? (ang. Can you determine the minimum number of files that were compressed before they were extracted?)

Ponownie skorzystałem z chainsaw. Za pomocą polecenia /target/release/chainsaw search --skip-errors "Superstar_MemberCard.tiff.exe" ../htb/C/ | grep TargetFilename > files.txt najpierw wyszukałem wszystkie wystąpienia pliku Superstar_MemberCard.tiff.exe, a następnie wykorzystałem grep, aby wylistować tylko te pliki, z którymi atakujący wszedł w interakcję. Po zebraniu wszystkich plików w jednym miejscu, wystarczyło zliczyć te, które miały wartość dla atakującego. Wykluczyłem wszystkie pliki exe, ps1, tiff oraz odrzuciłem katalog HelpTools, ponieważ był on używany przez atakującego do umieszczania narzędzi, oraz plik zip, który został wykorzystany przez atakującego do przesyłania plików (rys. 12).

Rys. 12. Liczba plików przejętych przez atakującego.
Rys. 12. Liczba plików przejętych przez atakującego

Odpowiedź: 26

Zadanie 14

Aby wyprowadzić dane z komputera ofiary, binarny plik wykonał polecenie. Czy możesz podać pełne polecenie użyte do tej akcji? (ang. To exfiltrate data from the victim’s workstation, the binary executed a command. Can you provide the complete command used for this action?)

Z wykrytych powiązanych eventów z zadania 9 (Rys 13).

Rys. 13. Znaleziony event log zawierający wykonane polecenie.
Rys. 13. Znaleziony event log zawierający wykonane polecenie.

Odpowiedź: "C:\Users\Public\HelpDesk-Tools\WinSCP.com" /script="C:\Users\Public\HelpDesk-Tools\maintenanceScript.txt"