Cyberdefenders KrakenKeylogger Lab Walkthrough

Cyberdefenders.org

A un empleado de una gran empresa se le asignó una tarea con un plazo de entrega de dos días. Al darse cuenta de que no podría completarla en ese plazo, buscó la ayuda de otra persona. Al cabo de un día, recibió una notificación de esa persona que le informaba que había logrado terminar la tarea y se la envió al empleado como prueba. Sin embargo, la persona también le envió un mensaje al empleado indicando qué si quería la tarea completada, tendría que pagar $160.

La exigencia de pago del ayudante reveló que en realidad era un actor de amenazas. El equipo de análisis forense digital de la empresa fue llamado para investigar e identificar al atacante, determinar el alcance del ataque y evaluar posibles violaciones de datos. El equipo debe analizar los registros informáticos y de comunicación del empleado para evitar ataques similares en el futuro.

Pregunta

1.- ¿Cuál es la aplicación de mensajería web que utilizó el empleado para hablar con el atacante?

Para responder esta pregunta debemos analizar los directorios entregados en este desafío el primer artefacto que se ha ocurrido analizar son las notificaciones de Windows. Buscaré este artefacto con la utilidad Find de Linux como se muestra en la siguiente imagen.

Como se muestra en la imagen anterior se puede identificar al usuario OMEN, por lo tanto, analizaré el directorio Notifications del usuario OMEN.

Al listar los archivos del directorio Notifications se puede observar un archivo wpndatabase.db y se corresponde a un archivo de base de datos SQLIte. Analizaré este archivo con la herramienta SQLIteBrowser.

Aquí la tabla que nos interesa es Notifications y la columna Payload. Exportaré la tabla en formato CSV para analizarla.

Ahora debemos filtrar nuestra búsqueda por la aplicación de mensajería que el usuario utilizó para comunicarse con el atacante. esta puede ser Telegram, WhatsApp, etc.

2.- ¿Cuál es la contraseña del archivo ZIP protegido enviado por el atacante al empleado?

Esta respuesta la podemos encontrar en mismo archivo de la pregunta número 2.

Ahora debemos buscar este archivo llamado test.zip y probar la contraseña encontrada.

Como se muestra en la imagen anterior el archivo test.zip se encuentra ./Users/OMEN/Downloads. Ahora lo que haré será copiar este archivo a mi directorio de evidencia para analizarlo.

Como se muestra en la imagen anterior la contraseña que se encontró es correcta.

3.- ¿Qué dominio utilizó el atacante para descargar la segunda etapa del malware?

Si observamos el directorio "our project templet test" que es producto de descomprimir el archivo "project templet test.zip" observaremos un archivo llamado templet.lnk.

Como se observa en la imagen anterior el archivo templet.lnk es un archivo MS Windows Shortcut. veremos cuál es su contenido.

Como se muestra en la imagen dentro del archivo hay una funcion que esta ofuscada. Utilizaré la herramienta filescan.io para analizar este archivo.

4.- ¿Cuál es el nombre del comando que el atacante inyectó usando uno de los LOLAPPS instalados en la máquina para lograr la persistencia?

Para identificar los programas instalados en la computadora analizare los registros de Windows que están ubicados en el directorio /challenge/Windows/system32/config , para su análisis utilizare la herramienta Fred.

El primer registro que analizaré será el hive llamado SOFTWARE.

 

Como se muestran en la imagen anterior existe una aplicación llamada Greenshot.exe que se ejecuta al encender la computadora, es decir, en el sistema autoruns de Windows. Buscaré en Internet que hace este programa GreenShot.exe.

Al parecer el programa permite vulnerar el sistema y generar algún tipo de persistencia en la computadora. Ahora buscaré el directorio donde se instaló la aplicación para analizarlo.

El directorio que nos interesa es ./Users/OMEN/AppData/Roaming/Greenshot al listar los archivo sólo hay un archivo llamado Greenshot.ini. Los archivos con extensión .ini son archivos de configuración que se utilizan principalmente en sistema Windows. Es un archivo de texto simple que está estructurado en secciones y campos y que contiene pares de clave-valor.

Ahora analizaré este archivo para ver que configuraciones contine.

5.- ¿Cuál es la ruta completa del archivo malicioso que utilizó el atacante para lograr la persistencia?

La respuesta a esta pregunta se encuentra en el archivo Greenshot.ini.

6.- ¿Cuál es el nombre de la aplicación que utilizó el atacante para la exfiltración de datos?

Para responder es pregunta utilizare la herramienta SrumECmd de Eric Zimmerman, esta herramienta permite analizar el archivo SRUDB.dat. El archivo SRUBB.dat es un archivo de base de datos que almacena información sobre uso de aplicaciones, red, etc.

Esta herramienta nos genera varios archivos en este caso en formato CSV. El archivo que nos interesa es 20241130231735_SrumECmd_NetworkConnections_Output.csv.

Como se muestra en la siguiente imagen luego de analizar los datos la aplicación sospechosa exfiltro casi 2.8 Gb. de datos.

7.- ¿Cuál es la dirección IP del atacante?

Un artefacto importante de analizar para responder esta pregunta es el directorio Roaming del usuario OMEN. Este directorio se encuentra /challenge/Users/OMEN/AppData/Roaming/ . El directorio Roaming es un directorio que es parte del perfil de usuario en ella se almacenan datos tales como: Sincronización de redes, configuraciones de usuario, etc. En la siguiente imagen se muestra los directorios almacenados en el directorio Roaming.

Aquí el directorio que nos interesa es AnyDesk. En él se encuentran los siguientes directorios.

Este archivo ad_trace es un archivo de rastreo según la documentación de AnyDesk. Por lo tanto, lo analizaré para encontrar la dirección IP del atacante.

Happy Hack!!!