All posts for: Medium

HTB nie udostępniło scenariusza dla zadania Sherlock.

Forela potrzebuje Twojej pomocy. Została poinformowana przez pracownika, że ich konto Discord zostało użyte do wysłania wiadomości z linkiem do pliku, który podejrzewają o bycie złośliwym oprogramowaniem. Wiadomość brzmiała: “Cześć! Pracowałem nad nową grą, która może Cię zainteresować. Łączy ona w sobie kilka gier, które lubimy razem grać, sprawdź to!”. Użytkownik Forela próbował zabezpieczyć swoje konto na Discordzie, ale mimo to wiadomości nadal są wysyłane i potrzebuje Twojej pomocy, aby zrozumieć to złośliwe oprogramowanie i odzyskać kontrolę nad swoim kontem!

Nasza grupa administracji chmurowej niedawno otrzymała ostrzeżenie od Amazon, że instancja EC2 wdrożona w naszym środowisku chmurowym jest wykorzystywana do celów złośliwych. Nasz zespół administratorów systemu nie przypomina sobie wdrażania tej instancji EC2, jednak pamiętają, że po zalogowaniu się do konsoli AWS znaleźli ponad 6 uruchomionych instancji EC2, których wdrożenia nie pamiętają. Dostarczono ci wywiad z naszym administratorem chmury w ramach triage.

Zespół SOC został ostatnio poinformowany o potencjalnym istnieniu zagrożenia wewnętrznego. Stacja robocza podejrzanego pracownika została zabezpieczona i zbadana. Podczas analizy pamięci, Starszy Analityk DFIR zdołał wydobyć kilka interesujących URL-i z pamięci. Są one teraz dostarczone Tobie do dalszej analizy, aby odkryć jakiekolwiek dowody, takie jak wskazania na wyciek danych lub kontakt z złośliwymi podmiotami. Jeśli odkryjesz jakiekolwiek informacje dotyczące grupy atakującej lub zaangażowanych osób, będziesz ściśle współpracować z zespołem ds. wywiadu zagrożeń. Dodatkowo, będziesz pomagać zespołowi ds. kryminalistyki w tworzeniu osi czasu.

O nie! Nasz administrator IT to trochę zakręcony człowiek, ByteSparkle zostawił swój plik konfiguracyjny VPN w naszym eleganckim prywatnym miejscu na S3! Źli napastnicy mogli uzyskać dostęp do naszej wewnętrznej sieci. Myślimy, że skompromitowali jedno z naszych stanowisk TinkerTech. Nasz zespół ds. bezpieczeństwa zdołał zdobyć dla Ciebie zrzut pamięci - przeanalizuj go i odpowiedz na pytania! Święty Mikołaj czeka…

Nasz personel niedawno otrzymał zaproszenie do niemieckiej ambasady na pożegnanie ambasadora Niemiec. Uważamy, że to zaproszenie było próbą phishingu, ponieważ po otrzymaniu tego maila na narzędziach SIEM naszej organizacji pojawiły się alerty. Udostępniliśmy szeroką gamę artefaktów, w tym liczne pliki binarne, zrzut sieci, pliki DLL z systemu hosta oraz plik .hta.

Gladys jest nowym pracownikiem w firmie. Otrzymała e-mail informujący ją, że dział IT ma przeprowadzić prace na jej komputerze. Została poinstruowana, aby zadzwonić do zespołu IT, który poinformuje ją, jak umożliwić im zdalny dostęp. Jednak zespół IT to w rzeczywistości grupa hakerów, którzy próbują zaatakować Forela.

Jeden z naszych partnerów technicznych obecnie zarządza naszą infrastrukturą AWS. Poprosiliśmy o wdrożenie pewnej technologii do chmury. Zaproponowane rozwiązanie to instancja EC2 hostująca aplikację Grafana. Niedługo po wdrożeniu instancji EC2 zużycie procesora utrzymywało się na poziomie ciągłych 98%+ dla procesu o nazwie “xmrig”. Ważna informacja: Publiczny adres IP naszego biura to 86.5.206.121. Po wdrożeniu aplikacji przeprowadziliśmy podstawowe testy podatności i konserwację.

Krytyczny serwer deweloperski Forela został zaatakowany przez grupę cyberprzestępców. Serwer deweloperski został przypadkowo pozostawiony otwarty do internetu, co nie powinno było mieć miejsca. Starszy deweloper Abdullah powiedział zespołowi IT, że serwer był w pełni zabezpieczony i nadal trudno jest zrozumieć, jak doszło do ataku i jak atakujący uzyskał dostęp w pierwszej kolejności. Forela niedawno rozpoczęła ekspansję swojej działalności w Pakistanie, a Abdullah był odpowiedzialny za całą infrastrukturę wdrożeniową i zarządzanie nią. Zespół ds. bezpieczeństwa musi jak najszybciej opanować i naprawić zagrożenie, ponieważ dalsze szkody mogą być katastrofalne dla firmy, zwłaszcza na kluczowym etapie ekspansji w innym regionie. Na szczęście w podsieci działało narzędzie do przechwytywania pakietów, które zostało skonfigurowane kilka miesięcy temu. Zrzut ruchu sieciowego obejmuje okres incydentu (1-2 dni), ponieważ nie wiemy dokładnie, kiedy atakujący uzyskał dostęp. Jako nasz analityk śledczy, otrzymałeś zrzut ruchu siecowego do oceny, jak atakujący uzyskał dostęp.

Jesteś zewnętrznym konsultantem ds. reagowania na incydenty, a twój menedżer właśnie przekazał ci sprawę od małego startupu o nazwie Cloud-guru-management Ltd. Obecnie budują produkt ze swoim zespołem deweloperów, ale CEO otrzymał informacje ustne, że ich własność intelektualna została skradziona i jest używana gdzie indziej. Użytkowniczka, o której mowa, twierdzi, że mogła przypadkowo udostępnić swój folder Dokumenty i uważa, że atak miał miejsce 6 października. Użytkowniczka również stwierdza, że w tym dniu była z dala od swojego komputera. Firma nie dostarczyła więcej informacji poza tymi. Rozpoczęto dochodzenie w celu ustalenia przyczyny potencjalnej kradzieży w Cloud-guru; jednak zespół nie zdołał odkryć przyczyny wycieku. Zebrali pewne wstępne dowody, które masz przejrzeć za pomocą triage KAPE. To od ciebie zależy, aby odkryć, jak doszło do tego wszystkiego.