Cyberdefenders Oski Lab Walkthrough

Cyberdefenders.org

El contador de la empresa recibió un correo electrónico titulado "Nuevo pedido urgente" de un cliente a última hora de la tarde. Cuando intentó acceder a la factura adjunta, descubrió que contenía información falsa sobre el pedido. Posteriormente, la solución SIEM generó una alerta sobre la descarga de un archivo potencialmente malicioso. Tras una investigación inicial, se descubrió que el archivo PPT podría ser el responsable de esta descarga. ¿Podría realizar un examen detallado de este archivo?

1.- Para categorizar y comprender mejor el comportamiento y la intención de este malware potencial, es esencial identificar su familia. ¿Cuál es el nombre de la familia de malware del ejecutable malicioso que se encuentra en el PPT?

En el desafío se nos proporciona un hash MD5 que debemos investigar. Consultaré el hash en la página web Recorded Future Triage.

2.- Determinar el momento de creación del malware puede brindar información sobre su origen. ¿Cuándo se creó el malware?

Utilizaré la herramienta Virustotal para obtener la respuesta a esta pregunta.

En el apartado "DETAILS > History" podemos encontrar la información para responder esta pregunta.

3.- Identificar el servidor de comando y control (C2C) con el que se comunica el malware puede ayudar a rastrear al atacante. ¿Con qué servidor C2C se comunica el malware en el archivo PPT?

Está información la proporciona VirusTotal en el apartado "RELATIONS > Contacted URLs".

4.- Identificar las acciones iniciales del malware después de la infección puede brindar información sobre sus objetivos principales. ¿Cuál es la primera biblioteca que solicita el malware después de la infección?

Esta información la podemos obtener del apartado "RELATIONS > Cotacted URLs".

5.- Al examinar el malware, parece que utiliza la clave RC4 para descifrar una cadena base64. ¿Cuál es la clave RC4 específica que utiliza este malware?

Utilizaré la nuevamente la herramienta Recorded Future Triage. para responder esta pregunta.

6.- Identificar las técnicas de un adversario puede ayudar a comprender sus métodos y diseñar contramedidas. ¿Qué técnica de MITRE ATT&CK están utilizando para robar la contraseña de un usuario?

Para responder está pregunta utilizaré la herramienta ANYRUN.

Como se muestra en la imagen anterior hacemos clic en el informe o reporte marcado en el recuadro rojo. Se nos mostrará la siguiente información.

Hacemos clic en ATT&CK marcado con rojo en la imagen, mostrar la siguiente información.

Por último, hacemos clic "Credential from Password Stores" se nos mostrará la información de la técnica MITRE utilizada por el malware.

7.- Los malwares pueden eliminar archivos que quedan como resultado de las acciones de su actividad de intrusión. ¿A qué directorio o ruta apunta el malware para su eliminación?

Con la herramienta ANYRUN podemos obtener está información, haciendo clic en el apartado "Process > cme.exe".

Se nos mostrará la siguiente información.

8.- Comprender el comportamiento del malware después de la exfiltración de datos puede brindar información sobre sus técnicas de evasión. Después de exfiltrar con éxito los datos del usuario, ¿cuántos segundos tarda el malware en autoeliminarse?

Podemos obtener esta información se puede obtener con la misma herramienta.

Happy Hack!!!