paBlue Team (100 pts)

by Pablu

Loh…

nc 103.87.66.171 32128

Pada soal ini, kita diberikan sebuah file Windows Event Logs bernama Security.evtx. Kita diminta untuk menganalisis file log tersebut dan menjawab beberapa pertanyaan pada service yang diberikan.

Saya membuka file dengan Event Viewer bawaan Windows, lalu memilih “Save All Events as...” untuk menyimpan file ini dalam format XML dan TXT. Kenapa? Karena di app Event Viewer, fitur ‘find’ nya sangat lemot, tidak seperti file text yang bisa langsung ctrl+f. Kenapa XML dan TXT? Karena isinya beda. Tau dari mana kalau isinya beda? Karena saya mencoba menggunakan keduanya ketika mencoba menjawab pertanyaan pada server.

Dari sini, saya dapatkan events.xml dan events.txt. Approach saya adalah melakukan ctrl+f pada kedua file dengan keyword penting seperti “powershell”. Dari situ, saya bisa melihat penjelasan event yang ada di sekitar keyword. Berikut adalah salah satu contoh.

Dari sini saja, kita mendapatkan informasi bahwa terjadi eksekusi command malicious pada Powershell yang disebabkan oleh malware executable bernama payload.exe. Malware tersebut menjalankan command yang di-encode menggunakan base64. Eksekusi oleh Powershell ini memiliki Event ID 4104, dan menjalankan sebuah tool credential-stealing bernama “Mimikatz”.

Nah, lakukan saja hal yang sama untuk setiap pertanyaan dari server.

$ nc 103.87.66.171 32128
Welcome, analyst. Please answer the following questions:

Question 1: What is the Event ID for malicious PowerShell execution?
Format: number
Answer: 4104
Correct

Question 2: What is the name of the malware executable that was dropped?
Format: name.exe
Answer: payload.exe
Correct

Question 3: What encoding was used in the PowerShell command?
Format: lowercase
Answer: base64
Correct

Question 4: What credential-stealing tool was executed?
Format: lowercase
Answer: mimikatz
Correct

Question 5: What registry key was modified to maintain persistence?
Format: this\is\example\path
Answer: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Malware
Correct

Question 6: What is the name of the backdoor service installed?
Format: NameSvc
Answer: BackdoorSvc
Correct

Question 7: Which LOLBin was used for process injection?
Format: binary.exe
Answer: rundll32.exe
Correct

Awalnya saya mencari dulu LOLbin itu apa. Lalu saya mencoba membandingkan apa yang ada di Google dengan binary yang digunakan pada file.

Question 8: What is the IP address used by the attacker to access RDP?
Format: xxx.xxx.x.xxx
Answer: 192.168.1.100
Correct

Question 9: What file was accessed in the C:\Finance directory?
Format: filename.ext
Answer: secret.docx
Correct

Question 10: What protocol was used for data exfiltration?
Format: lowercase
Answer: ftp
Correct

Congratulations! Flag: RECURSION{y0u_4r3_4_r3l14bl3_blu3_t34m_4n4lys7_09_URRRAAAHHH}

Flag: RECURSION{y0u_4r3_4_r3l14bl3_blu3_t34m_4n4lys7_09_URRRAAAHHH}