Benign 문제 풀이

host-centric logs를 분석할 예정.

 

 

 

 

index는  win_eventlogs

 

클라이언트의 IDS가 감지를 했다. HR부서의 호스트 중 하나에서 의심되는 프로세스 실행으로 침입을 당했다고. 어떤 네트워크 수집이랑 관련이 있는 툴이나 스케줄된 tasks가 실행되었다는 것을 알 수 있었고, 제한된 리소스 때문에 Event ID가 4688인 것만 확인했고, win_eventlogs라는 인덱스에 모두 저장해둠. 

 

이 네트워크는 3개의 논리적 세그먼트로 분류된다. 

IT Department

• James
• Moin
• Katrina

HR department

• Haroon
• Chris
• Diana

Marketing department

• Bell
• Amelia
• Deepak

 

 

 

 

---

 

1. How many logs are ingested from the month of March, 2022?

 

 

 

2. Imposter Alert: There seems to be an imposter account observed in the logs, what is the name of that user?

logs를 살펴보니 사칭 계정이 있는 것 같다. user의 이름이 무엇인가?

 

Username

Username에 11명의 이름이 있다.

IT Departmet (James, Moin, Katrina)

HR department (Haroon,Chris,Diana)

Marketing department (Bell,Amelia,Deepak)

원래 이렇게 9명의 팀원이 있음. 잘보면 USER 이름이 Diana가 아니고 Daina로 되어 있는 유저가 있었다!!

 

 

엥 근데 table로 만들어서 보니까 맨 밑에 Amelia를 사칭한 Amel1a가 있었다. Daina는 그냥 문제에서 이름 스펠링을 잘못 쓴 거 같다 ^^.

 

코드를 좀 더 상세하게 쓰는 방법도 알아두자.

 

index=win_eventlogs 
| stats count by UserName

 

3. Which user from the HR department was observed to be running scheduled tasks?

 

HR 부서의 어떤 유저가 스케줄된 tasks를 실행하는가?

 

 

HostName을 보면 HR_01,02,03 세개가 있다.

 

index=win_eventlogs HostName="HR*"

 

HostName이 HR로 시작하는 이벤트만 필터링했다.

 

Schedule이나 Scheduled 등 문자열을 검색해봤는데, 나오는 게 없다. Scheduled tasks 관련해서 구글링을 해봤는데, schtasks.exe 실행 파일이 존재하는 걸 알게됐다. 윈도우에서 사용하는 스케줄러.. cron 같은 건가 보다. 

 

UserName에 총 4명의 이름이 뜬다. 4명의 유저가 실행한 command를 모두 확인해봤는데, 

의심스러운 commandline은 3번째였다.

 

 

4. Which user from the HR department executed a system process (LOLBIN) to download a payload from a file-sharing host.

HR 부서에서 어떤 유저가 system process인 LOLBIN을 실행했는지? (파일 공유 호스트로부터 payload를 다운로드 하기 위해서) 

LOLBIN은 타깃 시스템에 미리 설치되어 있는 도구를 이용해서 공격하는 실행 파일이라고 한다. (파일 이름을 lolbin이라고 부르는게 아닌듯)

 

힌트: Explore lolbas-project.github.io/ to find binaries used to download payloads

저 사이트에 소개되어 있는 실행파일들이 모두 lolbin에 악용될 수 있는 파일인가보다. 단서는 file-sharing host로부터 payload를 다운로드 하기 위해서 사용한 거라고 했고, HR 부서 세 명이 용의자다.

index=win_eventlogs (UserName="haroon" OR "Chris.fort" OR "Daina")
| stats count by CommandLine

 

 

CommandLine을 살펴봤다.

 

 

47종류의 CommandLine이 있음.  그 중 맨 위에 있는 certutil.exe 실행파일이 보였다. 

 

 

이 사이트에도 명시가 되어 있다.

 

 

해당 CommandLine을 실행한 사람은 haroon

 

5. To bypass the security controls, which system process (lolbin) was used to download a payload from the internet?

 

보안 통제를 우회하기 위해서 어떤 시스템 프로세스가 인터넷으로부터 payload를 다운로드하기 위해 사용되었는가?

4번 문제와 이어진다. Certutil.exe라는 실행파일을 사용하고 있다. 

 

Certutil.exe는 인증서 서비스의 일부로 설치된 명령줄 프로그램. 이를 사용하면 CA(인증기관) 구성 정보를 표시하고, 인증서 서비스를 구성하고, CA 구성 요소를 백업 및 복원할 수 있다. 그리고 인증서, 키 쌍 및 인증서 체인을 확인함. (출처: 마이크로소프트)

 

 

6. What was the date that this binary was executed by the infected host? format (YYYY-MM-DD)

감염된 호스트에 의해 실행된 바이너리의 날짜

 

 

2022/03/04

 

7. Which third-party site was accessed to download the malicious payload?

어떤 제3자 사이트가 악성 payload를 다운로드 하기 위해 접속 했는지.

CommandLine을 보면 알 수 있다.

 

8. What is the name of the file that was saved on the host machine from the C2 server during the post-exploitation phase?

 

post-exploitation 단계에서 C2서버로부터 호스트머신에 저장된 파일의 이름이 무엇인지?

 

Commandline 맨 뒤에 있는 파일 이름이 그 파일..이다.

 

9. The suspicious file downloaded from the C2 server contained malicious content with the pattern THM{..........}; what is that pattern?

 

C2 서버로부터 다운로드된 파일에 THM{...}; 패턴의 content가 있다. 무슨 값인지?

C2 서버에 어떻게 접속하는 걸까? 

 

 

그렇다,,

 

 

10. What is the URL that the infected host connected to?

감염된 호스트가 연결하려고 하는 URL이 무엇인지? 

 

CommandLine을 참조하면 된다. 4번부터 10번까지 모두 이 CommandLine을 확인해야 풀 수 있는 문제였다.