Cyberdefenders BlueSky Walkthrough

https://cyberdefenders.org

Escenario:

Como analista de ciberseguridad del equipo de respuesta a incidentes de SecureTech, se ocupa de un caso urgente que involucra a una corporación de alto perfil que sospecha que su red ha sido víctima de un ciberataque sofisticado. La corporación, que administra datos críticos de varias industrias, ha sufrido un ataque de ransomware, lo que ha provocado el cifrado de archivos y la necesidad inmediata de asistencia de expertos para mitigar los daños e investigar la vulneración.

Su función en el equipo es realizar un análisis detallado de las pruebas para determinar el alcance y la naturaleza del ataque. Su objetivo es identificar las tácticas, técnicas y procedimientos (TTP) utilizados por el actor de la amenaza para ayudar a su cliente a contener la amenaza y restaurar la integridad de su red.

Preguntas

1.- Conocer la IP de origen del ataque permite a los equipos de seguridad responder rápidamente a posibles amenazas. ¿Puede identificar la IP de origen responsable de la posible actividad de escaneo de puertos?

Con la herramienta Wireshark analizamos el archivo BlueSkyRansomware.pcap y como se muestra en la siguiente imagen hay muchas solicitudes desde la dirección IP 87.96.21.84 hacia la dirección IP 87.96.21.81. Estas solicitudes son de tipo SYN-ACK-RST, por lo tanto, podemos deducir que el tipo de escaneo es tipo Stealth scan. 

2.- Durante la investigación, es fundamental determinar la cuenta a la que se dirige el atacante. ¿Puedes identificar el nombre de usuario de la cuenta a la que se dirige?

Para responder a esta pregunta utilizaré la herramienta NetworkMiner, para analizar el archivo BlueSkyRansomware.pcap. En el apartado "credentials" podemos observar las credenciales a la cual el atacante se dirige.

3.- Necesitamos determinar si el atacante logró obtener acceso. ¿Puede proporcionar la contraseña correcta descubierta por el atacante?

La contraseña descubierta por el atacante es cyb3rdxxxxxxx, como se muestra en la siguiente imagen con la herramienta NetworkMiner.

También con la herramienta Wireshark podemos comprobar la conexión y las operaciones realizadas por el atacante.

En el frame 2643 podemos observar la siguiente instrucción SQL.

La instrucción que se muestra en la imagen anterior permite al atacante activar las opciones avanzadas de visualización de SQL-Server y también habilita la opción xp_cmdshell para ejecutar comandos del sistema operativo desde SQL Server.

4.- Los atacantes suelen cambiar algunas configuraciones para facilitar el movimiento lateral dentro de una red. ¿Qué configuración habilitó el atacante para controlar aún más el host de destino y ejecutar más comandos?

La configuración que hablito el atacante es xp_cmxxxx.

5.- Los atacantes suelen utilizar la inyección de procesos para aumentar los privilegios dentro de un sistema. ¿En qué proceso inyectó el atacante el C2 para obtener privilegios administrativos?

Para responder esta pregunta analizaremos el archivo BlueSkyRansomware.evtx que es un archivo utilizado en sistemas Windows para almacenar información de eventos del sistema operativo. 

Como se muestra en la imagen hay un evento que tiene un nombre de host MSFConsole, MSFConsole es un marco de Metasploit utilizada para desplegar exploit de vulnerabilidades conocidas. En la siguiente imagen se muestran los detalles del evento.

Como se muestra en la imagen anterior MSFConsole esta implementado para la explotación y la inyección de proceso se realizó en el proceso winlogon.exe.

6.- Tras la escalada de privilegios, el atacante intentó descargar un archivo. ¿Puedes identificar la URL de este archivo descargado?

La URL del archivo descargado es http://87.96.21.84/checking.ps1, como se muestra en la siguiente imagen.

7.- Comprender qué identificador de seguridad de grupo (SID) verifica el script malicioso para verificar los privilegios del usuario actual puede proporcionar información sobre las intenciones del atacante. ¿Puede proporcionar el SID de grupo específico que se está verificando?

Como se muestra en la imagen anterior el script está verificando el grupo de cuenta de administrador.

8.- Windows Defender desempeña un papel fundamental en la defensa contra amenazas cibernéticas. Si un atacante lo desactiva, el sistema se vuelve más vulnerable a futuros ataques. ¿Cuáles son las claves de registro que utiliza el atacante para desactivar las funcionalidades de Windows Defender? Proporciónalas en el mismo orden en que se encuentran.

En el archivo checking.ps1 hay una función llamada "StopAV" donde se muestra la clave de registro "HKLM:\SOFTWARE\Microsoft\Windows Defender" y como se modifica las claves de registro para desactivar Windows Defender.

9.- ¿Puedes determinar la URL del segundo archivo descargado por el atacante?

Con la herramienta Wireshark y aplicando el filtro "ip.addr == 87.96.21.84 and http.request.method==GET" podemos obtener la URL del segundo archivo descargado por el atacante.

10.- Identificar tareas maliciosas y comprender cómo se utilizaron para la persistencia ayuda a fortalecer las defensas contra futuros ataques. ¿Cuál es el nombre completo de la tarea creada por el atacante para mantener la persistencia?

En el archivo checking.ps1 hay una función llamada "CleanerEtc" en el cual se ejecuta el ejecutable schtasks.exe que es el programa de línea de comando (cmd) para programar tareas. La tarea que se programa es la ejecución del archivo del.ps1 cada 4 horas con privilegio de sistema ('SYSTEM') usando la política de ejecución "Bypass" para ignorar restricciones de ejecución de script.

11.- Según su análisis del segundo archivo malicioso, ¿cuál es el ID de MITRE de la táctica que pretende lograr el archivo?

El script está diseñado para desactivar herramientas de monitoreo y administración de proceso. Por lo tanto, podemos considerar las acciones de este script como una técnica de evasión de defensa que tiene como ID TA0005.

12.- ¿Cuál es el script de PowerShell invocado que utiliza el atacante para volcar las credenciales?

El script de Powershell invocado que utilizo el atacante para volcar las credenciales es Invoke-PowerDump.ps1.

13.- Comprender qué credenciales se han visto comprometidas es esencial para evaluar el alcance de la violación de datos. ¿Cuál es el nombre del archivo de texto guardado que contiene las credenciales volcadas?

El atacante utilizó el script ichigo-lite.ps1, para obtener las credenciasles de usuarios, y estas fueron guardadas en el archivo "hashes.txt" en el directorio "C:\ProgramData\".

14.- Al conocer los hosts atacados durante la fase de reconocimiento del atacante, el equipo de seguridad puede priorizar sus esfuerzos de remediación en estos hosts específicos. ¿Cuál es el nombre del archivo de texto que contiene los hosts descubiertos?

Con la herramienta NetworkMiner en la pestaña File podemos obtener el nombre de archivo de los hosts descubiertos por el atacante y su contenido.

15.- Después de realizar el volcado de hash, el atacante intentó implementar ransomware en el host comprometido y lo propagó al resto de la red a través de actividades de movimiento lateral previas mediante SMB. Se le proporciona la muestra de ransomware para un análisis más profundo. Al realizar un análisis de comportamiento, ¿cómo se llama el archivo de la nota de rescate?

Para responder a esta pregunta lo que haré será configurar la red mi máquina virtual en modo NAT por seguridad, cabe mencionar que el malware proporcionado es malware vivo. Con lo anterior evitares alguna propagación del mismo. Luego descomprimiré el archivo llamado "malware.zip" y calcularé su hash para enviarlo a Virustotal 

16.- En algunos casos, hay herramientas de descifrado disponibles para familias de ransomware específicas. Identificar el apellido puede conducir a una posible solución de descifrado. ¿Cómo se llama esta familia de ransomware?

El malware pertenece a la familia "conti".

Happy Hack!!!