Cyberdefenders SpottedInTheWild Lab Walkthrough

el

 

Cyberdefenders.org
Forma parte del equipo de respuesta a incidentes de FinTrust Bank. Esta mañana, el sistema de monitoreo de red detectó patrones de tráfico saliente inusuales en varias estaciones de trabajo. El análisis preliminar realizado por el departamento de TI identificó un posible riesgo vinculado a una vulnerabilidad explotada en el software WinRAR.

1. En su investigación sobre la violación de datos de FinTrust Bank, encontraron una aplicación que fue el punto de entrada del ataque. ¿Qué aplicación se utilizó para descargar el archivo malicioso?
Como artefacto de análisis se nos entrega una imagen de disco duro de la estación de trabajo. Por lo tanto, la herramienta que utilizaré será Autopsy. Como se muestra en la siguiente imagen.
autopsy
Una vez cargada la imagen del disco duro, en el menú "Score" Autopsy identifico archivos sospechosos.

Sabemos que se exploto una vulnerabilidad en el softwear WinRAR. y como se muestra en la siguiente imagen Autopsy identifico un archivo con extensión .rar y dentro de el un archivo con extensión .pdf.
SANS SEC401
Ahora con el hash proporcionado por Autopsy lo consultaré en la plataforma VirusTotal.
SANS SEC401.rar
SANS SEC401.rar
Como se muestra en la imagen anterior el archivo es identificado como archivo malicioso. La respuesta a esta pregunta se encuentra en la misma ruta donde se encuentra el archivo SANS SEC401.rar.

2. Es fundamental averiguar cuándo comenzó el ataque. ¿Cuál es la marca de tiempo UTC del momento en que se descargó por primera vez el archivo sospechoso?
Para obtener el tiempo UTC del archivo sospechoso debemos configurar nuestro herramienta Autopsy en la zona horaria (GMT+0:00) etc/UTC.
Autopsy config timezone
2024-02-03 07:33:20
Si la configuración zona horaria se configuro correctamente, podemos obtener en la columna "Created time" la marca de tiempo cuando se creo el archivo.

3. Saber qué vulnerabilidad se explotó es fundamental para mejorar la seguridad. ¿Cuál es el identificador CVE de la vulnerabilidad utilizada en este ataque?
Para obtener el identificador CVE (Common Vulnerabilities and Exposures) en esta ocasión se puede obtener con la herramienta VirusTotal en el apartado "COMMUNITY" .
CVE:2023-38831
NIST CVE:2023-38831
4. Al examinar el archivo descargado, notó un archivo con una extensión extraña que indica que podría ser malicioso. ¿Cómo se llama este archivo?
Al analizar los archivos en el apartado de  "Deleted Files" de Autopsy se puede observar la descompresión del archivo SANS SEC401.rar en el se encuentra un archivo con extensión extraña.
SANS SEC401.pdf .cmd
5. Descubrir los métodos de distribución de la carga útil ayuda a comprender los vectores de ataque utilizados. ¿Cuál es la URL que utiliza el atacante para descargar la segunda etapa del malware?
Para entender el comportamiento del malware consultaré el hash del archivo en la plataforma AnyRun.
https://app.any.run/submissions
Como se muestra en la imagen anterior hay varios informe relacionado con el hash, para este caso utilizaré el primer informe.
https://app.any.run/tasks/0a544d74-a3a3-4544-9e87-46d04e159fec
Una vez desplegado el informe cargamos la vista gráfica de la ejecución del malware.
https://app.any.run/tasks/0a544d74-a3a3-4544-9e87-46d04e159fec
http://172.18.35.10:8000/amanwhogetsnorest.jpg
Al posicionar el mouse sobre "bitsadmin.exe" podemos obtener mayor información y la respuesta a esta pregunta.

6. Para entender mejor cómo ocultan sus huellas los atacantes, identifique el script que utilizaron para alterar los registros de eventos. ¿Cómo se llama el script?
Para poder responder esta pregunta utilizaremos la funcionalidad "Timeline". Sabemos que el archivo fue creado (descargado) 2024-02-03 07:33:20 UTC, como se muestra en la siguiente imagen.
2024-02-03 07:33:20 UTC
Con esto en mente podemos utilizar la funcionalidad "Timeline" de Autopsy a partir de la fecha de creación del archivo.
Autopsy Timeline
Eventlogs.ps1
Como se observa en la parte inferior "Extracted Text" se puede observar el script ejecutado para alterar los registro de eventos.

7. Saber cuándo se produjeron acciones no autorizadas ayuda a comprender el ataque. ¿Cuál es la marca de tiempo UTC en la que se ejecutó el script que manipuló los registros de eventos?
Para responder esta pregunta se debe extraer (exportar) el archivo "Windows PowerShell.evtx" con la herramienta Autopsy.
Extract File - Autopsy
Lo archivos extraídos se guardan en la carpeta "Export" donde se creo los directorios del caso con Autopsy.
Windows Powershell.evtx
Ahora debemos descargar la herramienta EvtxECmd. EvtxECmd es un analizador de registro de eventos para Windows esta herramienta propórciona una salidas en formato CSV, XML y JSON.
EvtxECmd
Luego de ejecutar la herramienta se genera un archivo con extensión .csv.
EvtxECmd-to-csv
Este archivo se puede analizar con herramientas como Excel o LibreOffice Calc.
Como se observa en la imagen anterior en la columna "TimeCreated" del archivo CSV podemos obtener la marca de tiempo de cuando se ejecuto el script. 

8. Necesitamos identificar si el atacante mantuvo el acceso a la máquina. ¿Cuál es el comando que utilizó el atacante para la persistencia?
Para responder esta pregunta utilizaré la herramienta online tria.ge. Tenemos el hash del archivo malicioso por lo tanto lo consultaré.
https://tria.ge/241012-v7shcasenh/behavioral2
En la sección de firmas (Signature) se puede observar que el malware genera persistencia vía Scheduled Task (Tarea programada).
Scheduled Task
En la sección Processes (Procesos) podemos identificar el comando utilizado por el malware para mantener persistencia.
schtasks /create /sc minute /mo 3 /tn "whoisthebaba" /tr C:\Windows\Temp\run.bat /RL HIGHEST
9. Para entender la estrategia de exfiltración de datos del atacante, debemos localizar dónde almacenaron los datos recopilados. ¿Cuál es la ruta completa del archivo que almacena los datos recopilados por una de las herramientas del atacante en preparación para la exfiltración de datos?
Para responder esta pregunta debemos analizar nuevamente el archivo "WindowsPowerShell.csv" (ver pregunta número 7). Como se muestra en la siguiente imagen en el segundo registro de evento hace referencia a un archivo llamado run.ps1.
run.ps1
Ahora en Autopsy cargaré esa ruta para ver su contenido.
conten file run.ps1
conten file runps.1
Como se observa en la imagen una cadena de caracteres en base64 invertida. El siguiente código PowerShell "$best64code.ToCharArray() ; [array]::Reverse($base64) ; -join $base64 2>&1> $null ;
  1. $best64code.ToCharArray(): Convierte la cadena de caracteres almacenada en la variable $best64code en un arreglo de caracteres.
  2. [array]::Reverse($base64): es un método estático de la clase .Net System.array para modificar el arreglo el contenido del arreglo.
Sabemos que la cadena en base64 se almacena de manera invertida esto normalmente se hacer para dificultar el análisis directo del código. Ahora con la herramienta Cyberchef ocupare dos recetas.
  1. Reverse (By character).
  2. From base64.
decode base64 by Cyberchef
Como se muestra en la imagen al decodificar la cadena base64 se muestra la ruta del archivo que se utiliza para exfiltrar información.
Happy Hack!!! 

Comentarios

Publicar un comentario