BTLO | Foxy investigation write-up
Salamlar, hər kəsə. Bu gün sizlərə Blue Team Labs Online platformasında olan “Foxy” otağını həll edəcəyik.
Ssenari:
Kəşfiyyat Analitiki olaraq sizə SOC Analitiklərinə araşdırmalarında kömək etmək, əlavə kontekst və məlumat təqdim etmək tapşırılıb.CSV fayllarını açmaq üçün Gnumeric-dən istifadə etməyi və ya ixrac qovluğundan Linux CLI əmrlərindən istifadə etməyi tövsiyə edirik.
1)The SOC recently observed network connections from 3 internal hosts towards hxxp://45.63.126[.]199/dot.gif (URL has been sanitized). What is this activity likely related to?
Tapşırığın şərtində bizdən istənilən təmizlənmiş linkin nədən qaynaqlandığınə və ya nə ilə əlaqəli olduğunu tapmağımızdır.
Cavab: Cobalt Strike
2)How many URLs are using the same endpoint ‘dot.gif’, across all export files? (include duplicates)
Tapşırığın şərtindəndə başa düşdüyümüz kimi bütün fayllar içərisində “dot.gif”-in oxşarları daxil olmaqla neçə sətirdə olduğunun dəqiq sayını istəyir.
Grep aləti fayllar içərisində axtarış etmək üçün alətdir.
Grep-dən axtardığımız parçanın sayını çıxarmasını istəyirik.
Digər fayllarda “dot.gif” olmadığından sadecə 2 fayl içərisində olanların sayını göstəririk. Cəm topladıqda cavabı tapırıq
Cavab: 568
3)The SHA256 hash of a file was detected and quarantined on one of the Executives old android phones. We are trying to work out what this file does so we can take next steps. The hash value is 6461851c092d0074150e4e56a146108ae82130c22580fb444c1444e7d936e0b5. Is this file associated with malware? If so, what is the malware name? (as stated by Malware Bazaar)
Bu tapşırığın şərtindəndə aydın olduğu kimi, zərərli tətbiqin SHA256 hash dəyəri verilib və bizdən zərərli tətbiqin adı tələb olunur.
SHA256 hash dəyərləri yığılan fayl içərisində zərərli tətbiqin hash dəyərini axtarış edirik.
Referansda qeyd olunan linkə keçid edirik.
Yazılan məqalədə faylın növü, təhlükənin adı, C2 domain, ip, registrar məlumatları qeyd olunub.
Cavab:IRATA
4)Investigate the reference link for this SHA256 hash value. Submit the threat name (acronym only), the C2 domain, IP, and the domain registrar.
Sualın şərtində qeyd edirki, referans verilən linkdən təhlükənin qısaldılmış adı, C2 domain, İP, registrar domain məlumatlarını qeyd edin.
Cavab: irata,uklivemy.gq,20.238.64.240,freenom
5)Visit https://www.joesandbox.com/analysis/1319345/1/html . Investigate the MITRE ATT&CK Matrix to understand the Collection activities this file can take, and what the potential impact is to the Executives work mobile phone. Submit the 5 Technique names in alphabetical order.
Sualın şərtində bizdən istənilən qeyd olunan vebsaytda araşdırma aparmaqdır. Orada qeyd olunan the “MITRE ATT&CK Matrix”-in də Collection aktivliyi üzrə iş telefonuna zərər vurula biləcək aktivlikləri araşdırıb əlifba sırası ilə ilk 5 texnikanı qeyd etməkdir.
Cavab: Access Contact List,Access Stored Application Data,Capture SMS Messages,Location Tracking,Network Information Discovery
6)A junior analyst was handling an event that involved outbound connections to a private address and didn’t perform any further analysis on the IP. What are the two ports used by the IP 192.236.198.236?
Verilən İP ünvanının 2 port üzərindən qoşulma etməyə çalışdığını və o portların hansı portlar olduğu soruşulur bizdən. Bu tapşırığında həlli zamanı biz grep alətindən istifadə edəcəyik. Grep vasitəsi ilə İP ünvanı axtarırıq və doğurdanda yalnız 2 qoşulma olduğunu görürük.
Cavab: 1505,1506
7)Use the reference to help you further research the IP. What is the C2 domain?
Bu sualda bizdən C2 domain-i qeyd etməyimizi istəyir və az öncə qeyd etdiyimiz İP ünvanı olan sətirin referansında olan linki araşdırmağımızı istəyir.
Referans linkə daxil olduğumuz zaman tvitter platformasında bir post çıxır qarşımıza və orda araşdırmanın işinə yaraya biləcək məlumatlar var.
Lakin biz hal-hazırda bizə lazım olan hissəni, yəni C2 domaini buradan əldə edəcəyik.
Cavab: ianticrish.tk
8)What is the likely delivery method into our organization? Provide the Technique name and Technique ID from ATT&CK.
Burada bizdən çatdırılma metodunun Texnikanın adı və Texnika İD barəsində məlumat istəyir. Əslinə qalsa məqsədimiz sadecə araşdırmanı bitirməkdirsə Texnika İD ni araşdırmanın açıqlamasından götürmək mümkündür.
Əks təqdirdə, araşdırma aparma bacarıqlarımızı irəlilətmək istəyiriksə o zaman işə qoyulmalıyıq.
Az əvvəlki tapşırıqda istifadəçi başqa bir məqaləyə cavab olaraq qeyd etdiyi şərhi araşdırdıq. İndi isə paylaşılan həmin posta nəzər salsaq görərik ki, burada bir boşluq barəsində məlumat verir. Bir zərərli “doc” faylı və onun işə düşdüyü zaman işinə başlayan “jar” faylınnan söhbət gedir.
Linkə daxil olduğumuz zaman çatdırılma metodunu tapdıq və araşdırmağa başlayaq.
TTP-lər(Tactics, Techniques, and Procedures) “Mitre Att&ck framework” də toplandığı üçün mənbə olaraq https://attack.mitre.org/techniques vebsaytını götürək.
Axtarış zamanı bizə məlum olur ki, “Distributed via e-mail attachment” metodu “Phishing” Texnikasına aiddir və texnika İD-si “T1566”-dır.
Cavab: Phishing, T1566
9)Investigate further and try to find the name of the weaponized Word document, so we can use our EDR to check if it is present anywhere else within the organization.
Bu tapşırıqda bizdən silahlanmış “Word document” faylının adını tapmağımızı istəyir.
Biz əvvəlki tapşırıqlarda qeyd etdiyimiz “Doc” qeyd olunan linkə daxil olduğumuz zaman faylın adını tapa bilərik.
Cavab: 08.08.2022 pazartesi siparişler.docx
10)What is the name of the .JAR file dropped by the Word document?
Bu sualda bizdən “.JAR” faylının adını istəyir.
Az öncə linki götürdüyümüz postdan Jar faylına uyğun linkə daxil olaraq adı vebsaytdan tapa bilərik.
Cavab:NMUWYTGOKCTUFSVCHRSLKJYOWPRFSYUECNLHFLTBLFKVTIJJMQ.JAR
11)Executives have expressed concern about allowing employees to visit Discord on the corporate network because of online reports that it can be used for malware delivery and data exfiltration. Investigate how Discord can be abused for malicious file storage/distribution! What is the URL of the Discord CDN, ending with /attachments/?
Bu tapşırıqda bizdən zərərli faylları saxlamaq üçün “Discord”-un saxlama,paylaşma funksiyalarının sui-istifadə edilməsi şübhələrindən danışılır və bizdən “Discord CDN”-ə aid /attachments/ ilə bitən URL-ni istəyir.
CTRL+F kliklədikdən sonra /attachments/ yazıb axtarış versək və ya
grep “/attachments/” full_urls.csv olaraq axtarsaq linkləri əldə edəcəyik.
Cavab: https://cdn.discordapp.com/attachments/
12)Looking at all export files, how many rows reference this URL? (include duplicates)
Tapşırığın şərti bizdən bütün ixrac olunmuş fayllar içərisində “https://cdn.discordapp.com/attachments/” linki ümumi neçə nüsxə var olduğunu öyrənməyimizi istəyir.
Biz də grep aləti vasitəsi ilə fayllar içərisində axtardığımız linki qeyd edirik və nəticədə cavabı əldə edirik. Manual olaraqda CLI üzərindəndə axtarış etsəniz hər birində fayllar üzrə ayrı-ayrılıqda axtarış etməli olacaqsınız.
Cavab: 565
13)Based on this information, what is the name of the malware family that is being widely distributed via Discord?
Bu tapşırıqda bizdən istənilən, Discord vasitəsi ilə yayılan zərərli tətbiqlərin hansı zərərli tətbiq ailəsinə aid olduğunu tapmağımızdır.
İlk növbədə “full_urls.csv” faylına daxil olub, CTRL+F vasitəsi ilə “https://cdn.discordapp.com/attachments/” linki axtarırıq və qarşımıza müxtəlif linklər çıxır. H sütununda qeyd olunanları bir-bir yoxlayıb cavabı tapa bilərsiniz(yalnız “https://cdn.discordapp.com/attachments/” ilə əlaqəli olanları).
Cavab: Dridex
14)We can proactively use indicators from threat feeds for detection, or for prevention via blocking. When it comes to blocking indicators, it is crucial that they are from a reputable source and have a high level of confidence to prevent blocking legitimate entities. How many rows in the full_urls.csv have a confidence rating of 100, and would likely be safe to block on the web proxy?
Bu tapşırığın şərtini uzun uzadı izah etmək istəmədiyimnən birbaş mətləbə keçəcəm. Deməli, taskda bizdən istənilən etimad səviyyəsi 100 olan sətirləri tapmaqdır. Bu tapşırığı “Gnumeric”-də həll edəcəyik. Etimad səviyyələri J sütununda olduğundan axtarışı ona uyğun edəcəyik.
Düsturu qeyd edib enterə kliklədikdə avtomatik olaraq hesablayıb geri dönüş edir.
Cavab: 39993
15)An analyst has reported activity coming from an IP address using source port 8001, but they don’t understand what this IP is trying to achieve. Looking at full_ip-port.csv in Gnumeric, filter on malware_printable = Unknown malware, and find an IP that is using port 8001. What is the IP address value?
X bir İP ünvan var, hansıki 8001 portu üzərindən müəyyən aktivlik göstərməyə cəhd edir. Lakin, nə etmək istədiyi başa düşülən deyil. Bizim məqsədimiz, “full_ip-port.csv” faylı içərisində 8001 portunu istifadə edən və “malware_printable = Unknown malware” olan İP ünvanını tapmaqdır.
Bu zaman biz “Gnumeric”-də “full_ip-port.csv” faylı daxilində “ioc_value” sütunu üzərində “:8001” filterləməsi aparıb, “malware_printable = Unknown malware” olan İP ünvanı tapmalıyıq.
Və ya tam əksinə, H sütunu üzrə “Unknown malware” filterləyib İP ünvanı tapa bilərsiniz.
Cavab: 107.172.214.23
16)Investigating the reference material, what is the CVE ID of the vulnerability that this IP has been trying to exploit? And what is the industry nickname for this vulnerability?
Öncəki tapşırıq olan İP ünvanı və sətiri araşdırırıq. Referans sütununda bizi tvitter linki qarşılayır. Linkə daxil olduqda CVE-İD, payloadlar, İP ünvan və s. digər məlumatlar bizi qarşılayır.
Cavab olaraq bizdən CVE-İD və boşluğun sənaye adı tələb olunur.
CVE-İD-ni bir qırağa qeyd edirik və Gnumericə geri dönürük. Sətirə tam baxdıqda “Tags” sütunundan boşluq haqqında lazımı məlumatları tapa bilərik.
“Tags” sütunundan əldə etdiklərimiz: “CVE-2021–44228,log4j,rogue-ldap”
Log4j boşluğunun sənaye adını axtardığımız zaman bizə lazım olan nəticə cavabıda tapırıq.
Cavab: CVE-2021–44228, Log4Shell
Bununlada “Foxy” araşdırmasını sonlandırdıq. Hər birinizə vaxt ayırıb oxuduğunuz üçün təşəkkür edirəm !