Splunkps Eclipse
En esta sala aprenderemos a analizar las actividades de ransomware con la herramienta de splunk en donde realizaremos búsquedas y filtros para encontrar diversas cosas en un dispositivo.
El escenario que nos ponen es: que somos un analista de SOC en el cual un cliente envió un correo electrónico solicitando un analista para investigar los eventos ocurridos en la máquina de Keegan el lunes 16 de mayo de 2022 . El cliente notó que la máquina está operativa, pero algunos archivos tienen una extensión extraña. Al cliente le preocupa que haya habido un intento de ransomware en el dispositivo de Keegan.
Link Splunk PS Eclipse
Created by tryhackme and Dex01 and MartaStrzelec
Primera Pregunta
A suspicious binary was downloaded to the endpoint. What was the name of the binary?
Para iniciar las pruebas ingresaremos un * para que nos filtre todos los eventos.
Filtrando todos los eventos, agregaremos a este el EventCode=3 para obtener conexiones de red que se realizaron.
Ahora, procederemos a buscar en Image en donde encontraremos un powershell.exe que se hace uso.
En la búsqueda ahora realizaremos la búsqueda de commandline y Image ...
Luego de realizar el filtro nos encontraremos con una linea de comandos en la que tenemos un texto en base64.
Para poder tener el texto en formato legible usaremos CyberChef
Segunda pregunta
_What is the address the binary was downloaded from? Add http://to your answer & defang the URL. _
Del anterior texto podremos ver que tenemos una url que es http://886e-181-215-214-32.ngrok.io al cual pasaremos a defang the URL haciendo uso de CyberChef
La respuesta que obtenemos es : hxxp[://]886e-181-215-214-32[.]ngrok[.]io
Tercera pregunta
What Windows executable was used to download the suspicious binary? Enter full path.
Desplegando el evento que encontramos antes encontraremos el binario con el que se ejecuto
Cuarta Pregunta
What command was executed to configure the suspicious binary to run with elevated privileges?
Para encontrar el comando que nos piden, tendremos que hacer uso del nombre del binario que descubrimos al tener el texto plano del base64.
Teniendo en cuenta el binario y el el programa de schtasks.exe lo que ejecuta el binario malicioso.
"OUTSTANDING_GUTTER.exe" "C:\\Windows\\system32\\schtasks.exe"
| table CommandLine"OUTSTANDING_GUTTER.exe" "C:\\Windows\\system32\\schtasks.exe":Filtra los eventos donde el campo
CommandLinecontiene las cadenas "OUTSTANDING_GUTTER.exe" y "C:\Windows\system32\schtasks.exe".
|:El operador de tuberÃa (
|) toma el resultado de la búsqueda anterior y lo pasa a la siguiente operación.
table CommandLine:Utiliza el comando
tablepara mostrar en forma de tabla los valores del campoCommandLineen los resultados de la búsqueda anterior.
Ingresando los filtros obtenemos el anterior resultado resaltado em el recuadro. Este será nuestra respuesta.
"C:\Windows\system32\schtasks.exe" /Create /TN OUTSTANDING_GUTTER.exe /TR C:\Windows\Temp\COUTSTANDING_GUTTER.exe /SC ONEVENT /EC Application /MO *[System/EventID=777] /RU SYSTEM /fQuinta pregunta
What permissions will the suspicious binary run as? What was the command to run the binary with elevated privileges? (Format: User + ; + CommandLine)
Ya se tiene el usuario que es SYSTEM, este usuario lo encontramos al decodear el texto en base64.
NT AUTHORITY/SYSTEM; "C:\Windows\system32\schtasks.exe" /Run /TN OUTSTANDING_GUTTER.exeSexta pregunta
The suspicious binary connected to a remote server. What address did it connect to? Add http:// to your answer & defang the URL
Para este ejercicio usaremos el siguiente comando:
* Image="C:\\Windows\\Temp\\OUTSTANDING_GUTTER.exe" TaskCategory="Dns query (rule: DnsQuery)" QueryName="*"
| table QueryNameImage="C:\\Windows\\Temp\\OUTSTANDING_GUTTER.exe":Filtra los eventos donde el campo
Imagees igual aC:\\Windows\\Temp\\OUTSTANDING_GUTTER.exe.
TaskCategory="Dns query (rule: DnsQuery)":Filtra los eventos donde el campo
TaskCategoryes igual a"Dns query (rule: DnsQuery)".
QueryName="*":Filtra los eventos donde el campo
QueryNamees igual a cualquier valor (*es un comodÃn que coincide con cualquier cadena).
|:El operador de tuberÃa (
|) toma el resultado de la búsqueda anterior y lo pasa a la siguiente operación.
table QueryName:Utiliza el comando
tablepara mostrar en forma de tabla los valores únicos del campoQueryNameen los resultados de la búsqueda anterior.
Luego de ejecutar el filtro obtendremos nuestra respuesta:
hxxps[://]9030-181-215-214-32[.]ngrok[.]ioSeptima pregunta
A PowerShell script was downloaded to the same location as the suspicious binary. What was the name of the file?
* .ps1
| table TargetFilename* .ps1:Filtra eventos donde el campo
TargetFilenamecontiene la extensión de archivo.ps1.
|:El operador de tuberÃa (
|) toma el resultado de la búsqueda anterior y lo pasa a la siguiente operación.
table TargetFilename:Utiliza el comando
tablepara mostrar en forma de tabla los valores del campoTargetFilenameen los resultados de la búsqueda anterior.
Octava pregunta
The malicious script was flagged as malicious. What do you think was the actual name of the malicious script?
Haciendo su el anterior filtro encontraremos un hash en md5 el cual debemos copiar
Ahora copiado el hash, ingresaremos a virus total y ingresaremos el hash
En detalles tendremos mas información acerca de este hash y del binario malicioso.
BlackSun.ps1Novena pregunta
A ransomware note was saved to disk, which can serve as an IOC. What is the full path to which the ransom note was saved?
Ahora filtraremos por BlackSun
Obtenemos algunos archivos que dejo el ransonware
C:\Users\keegan\Downloads\vasg6b0wmw029hd\BlackSun_README.txtDecima pregunta
The script saved an image file to disk to replace the user's desktop wallpaper, which can also serve as an IOC. What is the full path of the image?
Del anterior filtro podemos ver en el primer evento obtendremos nuestra respuesta.
C:\Users\Public\Pictures\blacksun.jpgHappy Hacking :)
Last updated