Chú ý: Để trả lời các câu hỏi trong thử thách này, bạn nên hoàn thành các phòng sau:
Kết nối với máy bằng RDP.
Thông tin xác thực của máy như sau:
Username: Administrator
Password: blueT3aming!
YIP của máy của chúng tôi là: MACHINE_IP
Nếu bạn đang sử dụng Remmina thành RDP, hãy đặt Độ sâu màu thành RemoteFX (32 bpp).
Chú ý: Máy này không phản hồi với ping (ICMP) và có thể mất vài phút để khởi động.
Để trả lời nhưng câu hỏi dưới đây mình sẽ thực hiện như sau
Mô hình của việc điều tra số ở đây
Câu 1:
Sau khi đăng nhập vào máy tính chúng ta cần điều tra số mình thấy ở desktop có 2 thứ là Logfile và tệp thực thi powershell với tên là WIN-Q5JJ...
Mình try cập vào ổ C mình thấy một thư mục tool, trong đó có công cụ autoruns có cả bản 64 bít và 32 bít, bạn mở cái nào cũng được, đồng thời bạn mở cả powsershell, logfile, event view lên. Đồng thời bạn chạy tệp WIN-Q5JJ... ngoài Desktop, và mình thấy ở tool autoruns chạy lên một tiến trình Updates.
Mình vào registry vào đúng đường dẫn đó, mình thụt dần về HKCU\Software\Microsoft\Windows\CurrentVersion thấy một cái là Debug có dữ liệu nội dung mã hóa gì đó. Đối chiếu câu hỏi và tìm được câu trả lời rồi 😆
Câu 2:
Ở câu này nó yêu cầu mình tìm tên quy tắc của mittre att&ck của Sysmon. Mình đi giải mã đoạn mã tìm được ở trên đã. Mình truy cập cyberchef để giải mã, đây mà mã hóa base64
Tiếp theo đó mình lấy nội dung đó ra notepad. Mình mở event view -> Applications and Services logs -> Microsofts -> Windows -> Sysmon và lưu log lại tên là sysmon.evtx
.
Hiển thị bảng này thì chọn như ảnh
Có thông tin về Sysmon event như này cần lưu lại
Vì ở đây là chủ yếu liên quan đến Registry mình để ý Event ID 13. Mình quay lại Event View thực hiện lọc tìm Event ID 13
Get-WinEvent -Path .\sysmon.evtx -FilterXpath '*/System/EventID=13' | Sort-Object TimeCreated | Where-Object {$_.Message -like "*enc*"} | fl
Lý do tại sao mình serch giá trị là "enc" vì đây là từ khóa về endcode (mã hóa). Chúng ta đang tìm chương trình bị mã độc mã hóa như thế nào và chạy ra sao mà
Hoặc trong event viewer bạn lọc giá trị "enc" sẽ tìm thấy kỹ thuật sử dụng
Câu 3: Tên chiến thuật sử dụng với ID này là gì
Mình lên trang MITRE ATT&CK tìm kiếm kỹ thuật T1547.001
Mình click vào và thấy kết quả
Câu 4: Giờ UTC cho sự kiện Sysmon là bao nhiêu?
Mình quay lại câu số 2 lúc xác định sự kiện khi sử dụng powsershell cho tìm kiếm sự kiện mã hóa tấn công. Giờ UTC sự kiện được hiện thị ở đó. Chúng ta sẽ có kết quả luôn à.
Câu 5: ID sự kiện Sysmon là gì? Loại sự kiện?
Sự kiện này ID mình xác định là 13 rồi nhé. Loại sự kiện ở đây bạn để ý ở màn hình powsershell câu số 2 bạn thấy EventType là gì. 😆😆
Câu 6: Dịch vụ nào phục vụ chạy mã độc?
Mình quay lại bức ảnh giải mã đoạn mã hóa trong registry ở câu 1, ngay ở dòng đầu tiên đã
cho chúng ta biết dịch vụ nào đang chạy để thực hiện tấn công
Đó chính là Fax (sc.exe start Fax)
Câu 7: Trọng tải cố gắng mở một cổng cục bộ. Cổng giá trị là gì?
Sử dụng lại bức ảnh câu 6 chúng ta sẽ thấy port mở là 9299
Câu 8: Tiến trình nào mà trọng tải cố gắng dừng?
Mình sau khi giải mã mã độc mình trong nội dung có một mã base64 khác
Mình đem đi giải mã bạn sẽ thấy được kết quả như sau
Từ hình ảnh chúng ta có thể thấy dòng đầu tiên nó dừng tiến trình FXSSVC.
Câu 9: Tệp DLL nào mà trọng tải cố gắng xóa?
Tiếp tục đọc chúng ta thấy luôn sau giá trị Remove-Item chúng ta thấy đường dẫn tệp ualapi.dll bị xóa
Câu 10: ID sự kiện Windows được liên kết với dịch vụ này là gì?
Mình để ý có một dòng log và chú ý Event ID là 823 là đáp án
Câu 11: Cái gì được liệt kê là Máy in Mặc định Mới?
Trong phần mô tả nó đề cập đến một máy in là PrintDemon
Câu 12: Tiến trình nào liên quan đến sự kiện này?
Mình thực hiện mở Detail với định dạng XML của log quan tâm đến ID thực thi của tiến trình
Sau đó bấm apply nhưng cũng không thu thập được gì cả. Mình quay lại Event View thực hiện tìm kiếm thông tin log tệp tin .dll bị xóa.
Hoặc cũng có thể thực hiện ở Powershell
Get-WinEvent -Path .\sysmon.evtx -FilterXpath '*/System/EventID=13' | Sort-Object TimeCreated | Where-Object {$_.Message -like "*ualpi*"} | fl
Câu 13: PID cha của tiến trình trên là gì?
Mình tìm kiếm PID là 1596 để theo dõi xem tiến trình cha của spoolsv.exe
Mình chọn cái đầu tiên chuột phải chọn Properties
Mình chọn tab process
Mình thấy được tiến trình cha là 620.
Câu 14: Kiểm tra các tiến trình khác. PID của quá trình chạy mã độc được mã hóa là gì?
Mình tìm thêm tiến trình khác cùng là Powershell bằng bộ lọc và mình tìm thấy luôn tiến trình 3088
Câu 15: Giải mã mã độc. Đường dẫn một phần có thể nhìn thấy là gì?
Quay lại bức ảnh giãi mã ở câu 8. Bạn đọc nội dung thấy một phần đường dẫn được gọi là /admin/get.php
Câu 16: Đây là cấu hình giao tiếp mặc định mà tác nhân sử dụng để kết nối với máy tấn công. Nền tảng tấn công nào đã được sử dụng? Tên của phần mềm sử dụng là gì?
Mình truy cập thư mục document thấy ở đây lưu tệp tin log gì đó.
Mình mở tệp thứ 3 vì nó nhiều dung lượng nhất.
Mình thấy một lệnh function thực hiện là Invoke-PsInject. Lên GG tìm và thấy tên phần mềm sử dụng với function này là Empire.
Về nền tảng sử dụng tấn công ở trang đó bạn kéo xuống Listeners 101. Bạn để ý đáp án của câu 15 cho chúng ta biết được đáp án nền tảng sử dụng tấn công là gì.
Câu 17: Bạn có thể tìm thấy những đường dẫn tệp nào khác trong nhật ký?
Vẫn hình ảnh về nền tảng tấn công ở câu 16 chúng ta đọc cột 2 có thể thấy ngoài đường dẫn trả lời ở câu 15 chúng ta còn 2 đường đẫn nữa là đáp án cho câu 17: /news.php và /login/process.php
Câu 18: MITRE ATT&CK URI cho tấn công là gì?
Quay lại trang mitre chúng ta tìm từ khóa emprie
Mình đã có câu trả lời cho câu 18 👾👾
Câu 19: FQDN của máy tấn công mà tiến trình đáng ngờ kết nối với là gì?
Tìm full DNS mà máy victim kết nối về C&C server. Mình kiếm tra trong phần code ở câu 8 vẫn còn một mã base64 khác nữa mình thực hiện giải mã thu được giá trị gôm IP và port. Đây là địa chỉ máy C&C server
Mình lấy địa chỉ IP đó vào trình powershell dùng lệnh nslookup
nslookup 34.245.128.161
Mình đã tìm thấy được FQDN của máy tấn công. 👿👿👿
Câu 20: Tiến trình nào khác được kết nối với máy của kẻ tấn công?
Mình quay lại giao diện Process Monitor. Lọc giá trị TCP Connect. Nhớ bỏ tìm kiếm cũ trước đó
Mình tìm thấy tiến trình khác chạy kết nối C&C là Explorer.exe
Nhìn vào bức ảnh câu 20 khi tìm tiến trình. Mình thấy luôn cột PID của Explorer.exe là 2684
Câu 22: Đường dẫn cho hình ảnh đầu tiên được tải cho tiến trình được xác định trong Q's 19 & 20 là gì?
Mình thực hiện lọc ra 2 giá trị là PID = 2684 và Operation = Load Image
Mình thu được đường dẫn kết quả cần tìm về đường dẫn .dll sử dụng
Câu 23: Sự kiện Sysmon nào được tạo ra giữa 2 tiến trình này? ID sự kiện được liên kết # của nó là gì?
Mình sẽ tìm thông tin giữa 2 tiến trình là explorer.exe và powershell.exe xem giữa chúng có gì không
Thời gian bắt đầu thực thi của explorer.exe câu 2 đã tìm là 1/21/2021 5:08:13 PM
Thời gian bắt đầu thực thi của powershell.exe mình thực hiện lại lệnh:
Get-WinEvent -Path .\sysmon.evtx -FilterXpath '*/System/EventID=1' | Sort-Object TimeCreated | Where-Object {$_.Message -like "*enc*"} | fl
Mình xác định time ở đây là 1/21/2021 5:05:45 PM với tiến trình mã hóa của powershell
Sau đó mình thực hiện lọc sự kiện giữa 2 tiến trình đó bằng lệnh sau:
$starttime = Get-Date -Date "1/21/2021 5:05:45 PM"
$endtime = Get-Date -Date "1/21/2021 5:08:13 PM"
Get-WinEvent -Path .\sysmon.evtx -FilterXpath '*/System/*' | Where-Object {$_.TimeCreated -ge $starttime -and $_.TimeCreated -le $endtime} | Sort-Object TimeCreated
Sau một lúc chờ đợi chúng ta sẽ thấy kết quả như sau. Sự kiện chạy giữa 2 tiến trình đó với ID = 8 và tên là CreateRemoteThread
Câu 24: Thời gian UTC cho sự kiện đầu tiên giữa 2 tiến trình này là gì?
Mình thực hiện tìm kiếm sự kiện vào khung giờ 1/21/2021 5:07:06 PM
$date = Get-Date -Date "1/21/2021 5:07:06 PM "
Get-WinEvent -Path .\sysmon.evtx -FilterXpath '*/System/*'| Where-Object {$_.Message -like $date} | fl
Chúng ta có kết quả UTC time 👀👀👀
Câu 25: Giá trị Ngày và Giờ là gì? (MM/DD/YYYY H:MM:SS [AM/PM])
Câu này đáp án có ngay ở câu 23 lúc tìm tiến trình chạy giữa mình phát hiện được tim là 1/21/2021 5:07:06 PM
Câu 26: Thao tác đầu tiên được tiến trình thứ 2 liệt kê bắt đầu với Ngày và Giờ từ Q25 là gì?
Phần này mình cần tìm thao tác thực hiện với PID = 3088 thông qua thời gian xác định ở câu 25. Mình tiến hành lọc PID.
Sau đó khéo lên đầu thấy tiến trình thứ 2 là Thread Create 👽👽
Câu 27: Đường dẫn đăng ký đầy đủ đã được kẻ tấn công truy vấn để lấy thông tin về máy nạn nhân là gì?
Mình thực hiện lọc tìm kiếm từ khóa là Release
Và mình tìm thấy full đường dẫn thông tin của máy nạn nhân
Chỗ này bạn chú ý Explorer.exe, ở cột Result giá trị là BUFFER hacker thực hiện làm tràn bộ đệm để lấy thông tin
Câu 28: Tên của mô-đun cuối cùng trong ngăn xếp từ sự kiện này có kết quả thành công là gì?
Mình chọn dòng Explorer.exe bị tràn đầu tiên chuột phải chọn properties -> stack tìm đến dòng cuối cùng xem tên module để điền vào câu trả lời.
Câu 29: Nhiều khả năng mô-đun nào trong nên tảng tấn công đã được sử dụng giữa 2 tiến trình?
Câu 16 đã trả lời cho chúng ta câu hỏi này, module sử dụng là Invoke-PSInject
Câu 30: ID MITRE cho kỹ thuật này là gì?
Mình quay lại trang mitre và tìm từ khá Invoke-PSInject và thấy được kết quả
Answer the questions below
Registry sử dụng cho mã độc được mã hóa là gì? (đường dẫn đầy đủ)
Tên quy tắc do Sysmon tạo ra là gì?
Chiến thuật nào được phân loại với ID MITRE ATT&CK này?
Giờ UTC cho sự kiện Sysmon là bao nhiêu?
ID sự kiện Sysmon là gì? Loại sự kiện?(answer, answer)
Giải mã mã độc. Dịch vụ nào chạy mã độc?
Trọng tải cố gắng mở một cổng cục bộ. Cổng giá trị là gì?
Tiến trình nào mà trọng tải cố gắng dừng?
Tệp DLL nào mà trọng tải cố gắng xóa? (full path)
ID sự kiện Windows được liên kết với dịch vụ này là gì?
Cái gì được liệt kê là Máy in Mặc định Mới?
Tiến trình nào liên quan đến sự kiện này?
PID cha của tiến trình trên là gì?
Kiểm tra các tiến trình khác. PID của quá trình chạy mã độc được mã hóa là gì?
Giải mã mã độc. Đường dẫn một phần có thể nhìn thấy là gì?
Đây là cấu hình giao tiếp mặc định mà tác nhân sử dụng để kết nối với máy tấn công. Nền tảng tấn công nào đã được sử dụng? Tên của phần mềm sử dụng là gì? (answer, answer)
Bạn có thể tìm thấy những đường dẫn tệp nào khác trong nhật ký? (answer, answer)
MITRE ATT&CK URI cho tấn công là gì?
FQDN của máy tấn công mà tiến trình đáng ngờ kết nối với là gì?
Tiến trình nào khác được kết nối với máy của kẻ tấn công?
PID cho tiến trình này là gì?
Đường dẫn cho hình ảnh đầu tiên được tải cho tiến trình được xác định trong Q's 19 & 20 là gì?
Sự kiện Sysmon nào được tạo ra giữa 2 tiến trình này? ID sự kiện được liên kết # của nó là gì? (answer, answer)
Thời gian UTC cho sự kiện đầu tiên giữa 2 tiến trình này là gì?
Giá trị Ngày và Giờ là gì? (MM/DD/YYYY H:MM:SS [AM/PM])
Thao tác đầu tiên được tiến trình thứ 2 liệt kê bắt đầu với Ngày và Giờ từ Q25 là gì?
Đường dẫn đăng ký đầy đủ đã được kẻ tấn công truy vấn để lấy thông tin về máy nạn nhân là gì?
Tên của mô-đun cuối cùng trong ngăn xếp từ sự kiện này có kết quả thành công là gì?
Nhiều khả năng mô-đun nào trong nên tảng tấn công đã được sử dụng giữa 2 tiến trình?
ID MITER cho kỹ thuật này là gì?
![Advent of Cyber 2 [2020] - Tryhackme - Write Up - Day 1](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLeXq7qj1vf7kjbSrUV-Q4iHtFE4W6cB1LFOWeuCvPqUIfsbJmzQk4xeZzqkKKz8t4mdohTiFeVTuXfpxKbZGp1OHj-KzpaOTJ7oB4ISB0lAR5ckzGMxY4rJyTYkBNySjgyYHyxXRiX9p0/w72-h72-p-k-no-nu/)
0 Comments