Escenario:
La puerta de tu dormitorio se abre de golpe, destrozando tus agradables sueños. El científico loco de tu jefe comienza a sacarte de la cama arrastrándote por el tobillo. Al mismo tiempo explica entre eructos que el FBI se puso en contacto con él. Encontraron su receta de salsa Szechuan recientemente desarrollada en la web oscura. A medida que pasa por el marco de la puerta, puede tomar su “Go-Bag” de respuesta a incidentes. En el interior se encuentra su confiable memoria USB y su computadora portátil.
Algunos archivos pueden estar dañados como en el mundo real. Si una herramienta no te funciona, busca otra.
1.- ¿Cuál es la versión del sistema operativo del servidor? (dos palabras)
La versión del sistema operativo es 2012 R2. La información se obtuvo con las herramientas FTK Image y la herramienta Fred.
Primero cargamos la imagen de disco del directorio E01-DC01 en FTK Imager.
Seleccionamos la opción Image File.
Por último, seleccionamos la imagen de disco.
Y presionamos el botón Open y en la ventana siguiente presionamos el botón Finish.
Una vez cargada la imagen tenemos que encontrar el directorio donde se encuentran los archivos hive de Windows, estos archivos están en Partition2[11168MB]/root/Windows/system32/Config.
Una vez exportado el archivo lo analizamos con la herramienta Fred.
Seleccionamos el archivo SOFTWARE.
Se mostrará la siguiente pantalla.
Al final del reporte generado encontramos información sobre la versión del sistema operativo.
2.- ¿Cuál es el sistema operativo de escritorio? (cuatro palabras separadas por espacios)
El sistema operativo de escritorio es Windows 10 Enterprise Evaluation. La información se obtuvo con la herramienta FTK Imager y la herramienta Fred.
Primero exportamos el archivo hive SOTFWARE de la imagen de disco 20200918_0417_DESKTOP-SDN1RPT.E01. Los hive se encuentran en el siguiente directorio 20200918_0417_DESCKTOP-SDN1RPT.E01/root/Windows/System32/Config.
3.- ¿Cuál fue la dirección IP asignada al controlador de dominio?
La dirección IP asignada al controlador de dominio es 10.42.85.10. La información se obtuvo del hive SYSTEM ubicado en Partition2[11168MB]/root/Windows/system32/Config y se analizó con la herramienta Fred.
4.- ¿Cuál era la zona horaria del servidor?
La zona horaria del servidor es UTC-6. Aquí se necesita hacer un poco de análisis. Lo primero que hice fue exportar el hive SYSTEM ubicado 20200918_0347_CDrive.E01/root/Windows/System32/config, luego lo analicé con la herramienta Fred.
Pero si analizamos los registros Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational.evtx y los logs del archivo case001.pcap
 |
| case001.pcap |
 |
| Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational.evtx |
Si analizamos las fechas de ambos registros hay una diferencia de 1 hora entre los registros de eventos y la captura de red. Por lo tanto, si el servidor tiene configurado UTC-7 y restamos la hora la zona horaria real del servidor es UTC-6.
5.- ¿Cuál fue el vector de entrada inicial (cómo entraron)? Proporcione el nombre del protocolo.
El nombre del protocolo que se utilizó como vector de entrada fue el protocolo RDP. La información se obtuvo con la herramienta BrinSecurity.
Como se observa en la imagen fueron detectados varios tipos de actividad maliciosa. Primero el atacante realizó un escaneado de red con la herramienta Nmap al protocolo RDP.
Luego se observa que se descargó un archivo PE exe.
6.- ¿Cuál fue el proceso malicioso utilizado por el malware? (una palabra)
El proceso malicioso utilizado por el malware es coreupdater. La información se obtuvo con la herramienta Volatility3.
El proceso al cual migró el malware después del compromiso inicial fue spoolsv. La información se obtuvo con la herramienta Voltility3. Primero ejecute el pluging Malfind.
Luego ejecuté el siguiente comando de volatility3 windows.malfind.Malfind --dump, con este comando se realiza un volcado de todos los procesos encontrados por el pluing Malfind.
Por último, escaneo los archivos volcados anteriormente con el antivirus clamav.
Como se muestra en la imagen clamav encontró malware en el proceso con PID 3724, este PID pertenece al proceso spoolsv.exe.
8.- Identifique la dirección IP que entregó la carga útil.
La dirección IP que entregó la carga útil es 194.61.24.102. La información se obtuvo con la herramienta BrimSecurity.
La dirección IP que llamaba el malware es 203.78.103.109. La información se obtuvo de la herramienta Hybrid-Analysis.
10.- ¿Dónde residía el malware en el disco?
El malware está ubicado en el directorio C:\Windows\System32\coreupdater.exe. La información se obtuvo con la herramienta FTK Imager y la Herramienta MFTECmd.
Primero exporte el Archivo $MFT con la herramienta FTK Imager, luego con la herramienta NFTECmd leí el archivo $MFT y lo convertí en formato CSV.
La herramienta de ataque es Metasploit. La información se obtuvo con la herramienta VirusTotal.
12.- Una de las IP maliciosas implicadas tiene su sede en Tailandia. ¿Cuál era la IP?
La dirección IP maliciosa con sede en Tailandia es 203.78.103.109. La información se obtuvo con la herramienta Hybrid Analysis.
La otra dirección IP maliciosa es 194.61.24.102. La información se obtuvo con la herramienta BrimSecurity.
14.- El atacante realizó algunos movimientos laterales y accedió a otro sistema del entorno a través de RDP. ¿Cuál es el nombre de host de ese sistema?
El nombre del otro host que el atacante accedio es DESKTOP-SDN1RPT. La informacion se obtuvo con la herramienta Wireshark y su utilidad statistics/resolved addresses.
El usuario de inicio sesión en la máquina de escritorio fue Rick Sanchez. La información se obtuvo con la Herramienta FTK Imager, EvtxECmd.exe, TimelineExplorer.exe.
Primero exporte el directorio winevt ubicado en el siguiente directorio 20200918_0347_CDrive.E01/root/Windows/System32/Winevt.
Como se muestra en la imagen se convirtió el archivo a CSV sin errores. Ahora el archivo lo analizaremos con la herramienta TimelineExplorer.exe
16.- ¿Cuál era la contraseña de la cuenta "jerrysmith"?
La contraseña de de la cuenta jerrysmith es !BETHEYBOO12!. La informacion se obtuvo con la herramienta FTK Imager, impacket-secretsdump, John the ripper.
Primero exportamos el ntds.dict con la herramienta FTK Imager, el directorio NTDS está ubicado en Partition 2/root/Windows/NTDS/ntds.dic
Luego de exportar el archivo ejecutamos la herramienta Impacket-secretsdump para obtener los hashes de la contraseña de usuario.
Ejecutamos el siguiente comando para extraer la parte del hash que nos interesa.
Como resultado debemos obtener lo siguiente.
La clave de usuario que nos interesa es la subrayada de color rojo.
17.- ¿Cuál era el nombre de archivo original de los secretos de Beth?
El nombre del archivo original de los secretos de Beth es SECRET_BETH.TXT. La información se obtuvo del archivo $MFT.
18.- ¿Cuál era el contenido del archivo secreto de Beth? (seis palabras, espacios entre ellas)
El contenido del archivo Beth_Secret.txt es "Earth beth is the real beth". La información se obtuvo con la herramienta FTK Imager. Analizando $Recycle.Bin encontré el mensaje correcto para responder la pregunta.
El Id de la técnica MITRE correspondiente es T1543.003. La información se obtuvo desde la página web de MITRE.
Happy Hack!!!
Comentarios
Publicar un comentario