Compromised
Compromised
Embedded Files
Our SOC team detected suspicious activity in Network Traffic, the machine has been compromised and company information that should not have been there has now been stolen – it’s up to you to figure out what has happened and what data has been taken.
Category: SOC || Level: EASY
TASK 1: What is the IP address used for initial access?
TASK 2: What is the SHA256 hash of the malware?
TASK 3: What is the Family label of the malware?
TASK 4: When was the malware first seen in the wild (UTC)?
Menggunakan filter untuk melihat http response GET, saya temukan berkas yang namanya mencurigakan dan menemukan IP yang dicari. Mulai dari sini saya mulai mencari informasi terkait file mencurigakan ini. Melakukan export file, sampai pada upload ke VirusTotal. Saya mendapatkan banyak informasi untuk menjawab semua pertanyaan pada challenge ini secara cepat.
TASK 5: The malware used HTTPS traffic with a self-signed certificate. What are the ports, from smallest to largest?
Disini saya melakukan pengecekan pada protokol TLS dengan memperhatikan bagian "Issuer" dan "Subject" untuk mengidentifikasi penggunaan "self-signed certificate".
Sertifikat self-signed adalah sertifikat yang ditandatangani oleh entitas yang sama yang mengeluarkannya (issuer dan subject sama). Beberapa indikator:
Issuer dan Subject Identik: Jika "issuer" dan "subject" memiliki nilai yang sama, ini merupakan karakteristik utama sertifikat self-signed.
Tidak Ada Rantai Sertifikasi Valid: Tidak memiliki CA (Certificate Authority) terpercaya yang menandatangani sertifikat.
Serial Number Tidak Unik: Kadang-kadang, serial number sederhana atau tidak mengikuti pola standar.
Saya temukan, terdapat 4 port yaitu port 443, 2222, 2078, 32999 yang awalnya didapat dari Analisis "Endpoint" kemudian menggunakan filter "ssl.handshake.type == 11" pada wireshark dan penambahan kolom "source port dan destination port".
Kemudian melakukan pengecekan satu persatu pada bagian Issuer dan subject sehingga didapatkan bahwa 443 tidak termasuk.
Analisis ini juga telah menjawab dari TASK 6 & 7:
TASK 6: What is the id-at-localityName of the self-signed certificate associated with the first malicious IP?
TASK 7: What is the notBefore time(UTC) for this self-signed certificate?
Port 2078 -> Analisis: issuer dan subject identik, menunjukkan self-signed certificate.
Issuer:
id-at-commonName=nonveracitygalvanometry.band,
id-at-localityName=Wrinkles Fireless,
id-at-organizationalUnitName=Prediet,
id-at-organizationName=Awarrant
Subject:
id-at-commonName=nonveracitygalvanometry.band,
id-at-localityName=Wrinkles Fireless,
id-at-organizationalUnitName=Prediet,
id-at-organizationName=Awarrant
Lainnya:
Port 2222 -> Issuer dan Subject sama
Issuer:
id-at-commonName=lordless.name,
id-at-localityName=Priorship,
id-at-organizationalUnitName=Halutz,
id-at-organizationName=Anaudia Aquose Inc.
Subject:
id-at-commonName=lordless.name,
id-at-localityName=Priorship,
id-at-organizationalUnitName=Halutz,
id-at-organizationName=Anaudia Aquose Inc.
Port 2222 Lainnya:
Port 32999 -> Issuer dan Subject sama
Issuer:
id-at-commonName=istiophoridaecummer.date,
id-at-localityName=Turgidities,
id-at-organizationalUnitName=Inappellable,
id-at-organizationName=Lapins Aerobacteriological Inc.
Subject:
id-at-commonName=istiophoridaecummer.date,
id-at-localityName=Turgidities,
id-at-organizationalUnitName=Inappellable,
id-at-organizationName=Lapins Aerobacteriological Inc.
Lainnya:
Port 443:
TASK 8: What was the domain used for tunneling?
Menggunakan tshark untuk mengekstrak file dns query didalam file pcap. Hasil yang didapat bahwa, aaa.h.dns.steasteel.net dan baa.h.dns.steasteel.net menunjukkan beberapa permintaan untuk subdomain dari domain dns.steasteel.net yang mengandung beberapa query yang berulang-ulang.
Kemudian saya pastikan kembali pada wireshark dan setelahnya
┌──(glmx㉿kali)-[~/Desktop]
└─$ tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name
webmasterdev.com
webmasterdev.com
twitter.com
twitter.com
aaa.h.dns.steasteel.net
aaa.h.dns.steasteel.net
aaa.h.dns.steasteel.net
baa.h.dns.steasteel.net
baa.h.dns.steasteel.net
baa.h.dns.steasteel.net
caa.h.dns.steasteel.net
caa.h.dns.steasteel.net
caa.h.dns.steasteel.net
daa.h.dns.steasteel.net
daa.h.dns.steasteel.net
daa.h.dns.steasteel.net
eaa.h.dns.steasteel.net
eaa.h.dns.steasteel.net
eaa.h.dns.steasteel.net
faa.h.dns.steasteel.net
faa.h.dns.steasteel.net
faa.h.dns.steasteel.net
gaa.h.dns.steasteel.net
gaa.h.dns.steasteel.net
gaa.h.dns.steasteel.net
haa.h.dns.steasteel.net
haa.h.dns.steasteel.net
haa.h.dns.steasteel.net
iaa.h.dns.steasteel.net
iaa.h.dns.steasteel.net
iaa.h.dns.steasteel.net
jaa.h.dns.steasteel.net
.....
Perintah ini digunakan untuk mengekstrak dan menampilkan query DNS dan data teks terkait yang digunakan dalam komunikasi DNS, dengan fokus pada jenis query TXT.
Hasil yang ditampilkan adalah sejumlah query DNS untuk beberapa subdomain (aaa.h.dns.steasteel.net, baa.h.dns.steasteel.net, dll..), yang masing-masing memiliki data TXT yang dikembalikan sebagai respons dari server DNS.
aaa.h.dns.steasteel.net: Respons berisi string panjang yang tampaknya merupakan data terenkripsi atau data dalam format khusus yang dapat digunakan untuk tujuan tertentu.
baa.h.dns.steasteel.net: Respons ini juga berisi data yang lebih panjang yang kemungkinan digunakan untuk komunikasi sistem atau untuk pemrosesan lebih lanjut.
*Data TXT ini umumnya digunakan untuk tujuan konfigurasi atau untuk mengirimkan informasi yang lebih kompleks, seperti konfigurasi layanan atau komunikasi dengan sistem eksternal*
Hasil ini dapat mengungkapkan informasi lebih lanjut tentang konfigurasi, sistem komunikasi, atau bahkan data yang digunakan oleh malware atau aplikasi lain yang memanfaatkan DNS untuk komunikasi.
Google Sites
Report abuse