hamayanhamayan's blog

Hack The Box Sherlocks - Tracer Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

A junior SOC analyst on duty has reported multiple alerts indicating the presence of PsExec on a workstation. They verified the alerts and escalated the alerts to tier II. As an Incident responder you triaged the endpoint for artefacts of interest. Now please answer the questions regarding this security event so you can report it to your incident manager.
当直の若手 SOC アナリストが、ワークステーション上に PsExec が存在することを示す複数のアラートを報告しました。彼らはアラートを検証し、アラートを Tier II にエスカレーションしました。インシデント対応者として、あなたはエンドポイントで関心のあるアーティファクトトリアージしました。次に、このセキュリティ イベントに関する質問に答えて、インシデント マネージャーに報告してください。



Task 1

The SOC Team suspects that an adversary is lurking in their environment and are using PsExec to move laterally. A junior SOC Analyst specifically reported the usage of PsExec on a WorkStation. How many times was PsExec executed by the attacker on the system?
SOC チームは、敵が環境内に潜んで PsExec を使用して横方向に移動しているのではないかと考えています。若手 SOC アナリストは、ワークステーションでの PsExec の使用法を具体的に報告しました。システム上で攻撃者によって PsExec が何回実行されましたか?

WinPrefetchViewでPrefetchフォルダを開き、PSEXECのRun Counterを見ると9回実行されていた。

Task 2

What is the name of the service binary dropped by PsExec tool allowing attacker to execute remote commands?
攻撃者がリモート コマンドを実行できるようにする PsExec ツールによってドロップされるサービス バイナリの名前は何ですか?

Taks 1と同じところを見ると参照ファイルの一覧があるのでそれっぽいものを提出すると正答。psexesvc.exe

Task 3

Now we have confirmed that PsExec ran multiple times, we are particularly interested in the 5th Last instance of the PsExec. What is the timestamp when the PsExec Service binary ran?
PsExec が複数回実行されたことを確認しました。特に、PsExec の最後の 5 番目のインスタンスに注目します。PsExec サービス バイナリが実行されたときのタイムスタンプは何ですか?

PSEXESVC.EXE-AD70946C.pf 9/7/2023 8:10:04 AM 9/7/2023 8:10:04 AM 4,185   PSEXESVC.EXE    \VOLUME{01d951602330db46-52233816}\WINDOWS\PSEXESVC.EXE 9   9/7/2023 12:10:03 PM, 9/7/2023 12:09:09 PM, 9/7/2023 12:08:54 PM, 9/7/2023 12:08:23 PM, 9/7/2023 12:06:54 PM, 9/7/2023 11:57:53 AM, 9/7/2023 11:57:43 AM, 9/7/2023 11:55:44 AM  No  


9/7/2023 12:10:03 PM
9/7/2023 12:09:09 PM
9/7/2023 12:08:54 PM
9/7/2023 12:08:23 PM
9/7/2023 12:06:54 PM 5番目のこれが正解
9/7/2023 11:57:53 AM
9/7/2023 11:57:43 AM
9/7/2023 11:55:44 AM

Task 4

Can you confirm the hostname of the workstation from which attacker moved laterally?


C:\Users\WDAGUtilityAccount\Downloads\hayabusa-2.10.1-win-64-bit>hayabusa-2.10.1-win-x64.exe search -d C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs -k PsExec


2023-09-07 20:59:11.650 +09:00 ‖ Forela-Wkstn002.forela.local ‖ Sysmon ‖ 1 ‖ 158418 ‖ Process Creation ‖ CommandLine: "C:\Users\Administrator\Downloads\PSTools\PsExec64.exe" \\Forela-Wkstn001 -u Administrator -i whoami ¦ Company: Sysinternals - www.sysinternals.com ¦ CurrentDirectory: C:\Users\Administrator\Downloads\PSTools\ ¦ Description: Execute processes remotely ¦ FileVersion: 2.43 ¦ Hashes: SHA1=0098C79E1404B4399BF0E686D88DBF052269A302,MD5=DB89EC570E6281934A5C5FCF7F4C8967,SHA256=EDFAE1A69522F87B12C6DAC3225D930E4848832E3C551EE1E7D31736BF4525EF,IMPHASH=8A589B59271D320348F6CDEC90A97E6C ¦ Image: C:\Users\Administrator\Downloads\PSTools\PsExec64.exe ¦ IntegrityLevel: High ¦ LogonGuid: B02EC91E-B9F5-64F9-189A-290000000000 ¦ LogonId: 0x299a18 ¦ OriginalFileName: psexec.c ¦ ParentCommandLine: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" ¦ ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ ParentProcessGuid: B02EC91E-BAF8-64F9-C101-000000003000 ¦ ParentProcessId: 10792 ¦ ParentUser: FORELA\Administrator ¦ ProcessGuid: B02EC91E-BB0F-64F9-CA01-000000003000 ¦ ProcessId: 3344 ¦ Product: Sysinternals PsExec ¦ RuleName: technique_id=T1059.001,technique_name=PowerShell ¦ TerminalSessionId: 2 ¦ User: FORELA\Administrator ¦ UtcTime: 2023-09-07 11:59:11.645 ‖ C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs\Microsoft-Windows-Sysmon%4Operational.evtx


Task 5

What is full name of the Key File dropped by 5th last instance of the Psexec?
Psexec の最後の 5 番目のインスタンスによってドロップされたキー ファイルのフル ネームは何ですか?


C:\Users\WDAGUtilityAccount\Downloads\hayabusa-2.10.1-win-64-bit>hayabusa-2.10.1-win-x64.exe search -d C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs -k ".key"


2023-09-07 21:06:55.064 +09:00 ‖ Forela-Wkstn002.forela.local ‖ Sysmon ‖ 11 ‖ 159599 ‖ File Creation or Overwrite ‖ CreationUtcTime: 2023-09-07 12:06:55.054 ¦ Image: System ¦ ProcessGuid: B02EC91E-B89C-64F9-EB03-000000000000 ¦ ProcessId: 4 ¦ RuleName: technique_id=T1574.010,technique_name=Services File Permissions Weakness ¦ TargetFilename: C:\Windows\PSEXEC-FORELA-WKSTN001-95F03CFE.key ¦ User: NT AUTHORITY\SYSTEM ¦ UtcTime: 2023-09-07 12:06:55.054 ‖ C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs\Microsoft-Windows-Sysmon%4Operational.evtx


Task 6

Can you confirm the timestamp when this key file was created on disk?
このキー ファイルがディスク上に作成されたときのタイムスタンプを確認できますか?

Task 5のログを使えばいい。

Task 7

What is the full name of the Named Pipe ending with the "stderr" keyword for the 5th last instance of the PsExec?
PsExec の最後の 5 番目のインスタンスの「stderr」キーワードで終わる名前付きパイプの完全な名前は何ですか?

C:\Users\WDAGUtilityAccount\Downloads\hayabusa-2.10.1-win-64-bit>hayabusa-2.10.1-win-x64.exe search -d C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs -k "stderr"


2023-09-07 21:06:55.084 +09:00 ‖ Forela-Wkstn002.forela.local ‖ Sysmon ‖ 17 ‖ 159603 ‖ Named Pipe Created ‖ EventType: CreatePipe ¦ Image: C:\WINDOWS\PSEXESVC.exe ¦ PipeName: \PSEXESVC-FORELA-WKSTN001-3056-stderr ¦ ProcessGuid: B02EC91E-BCDE-64F9-0C02-000000003000 ¦ ProcessId: 6836 ¦ RuleName: - ¦ User: NT AUTHORITY\SYSTEM ¦ UtcTime: 2023-09-07 12:06:55.069 ‖ C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs\Microsoft-Windows-Sysmon%4Operational.evtx


Hack The Box Sherlocks - ProcNet Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

With the rising utilization of open-source C2 frameworks by threat actors, our red team has simulated the functionalities of one such widely employed framework. The objective of this exercise is to aid blue teams in strengthening their defenses against these specific threats. We have been provided with PCAP files and APIs collected during the event, which will serve as valuable resources. Let us now initiate the hunting process. Using the API Monitor: We are well-acquainted with opening PCAP and .EVTX files, but what are .apmx64 ? The .apmx64 file extension is associated with API Monitor, a software used to monitor and control API calls made by applications and services. To commence your analysis, follow the steps provided below: Download the API Monitor Navigate to "Files" and click on "Open" to view captured data from the file: "Employee.apmx64" or "DC01.apmx64" After opening the file, the "Monitoring Process" window will populate with a list of processes. Expand the view by clicking the '+' symbol to reveal the modules and threads associated with each process. The API calls can be observed in the "Summary" window. To focus our analysis on a specific module, click on the different DLLs loaded by the processes. TIP: When conducting analysis, it is advisable to begin by examining the API calls made by the process itself, rather than focusing solely on DLLs. For instance, if I intend to analyze the API calls of a process named csgo.exe, I will initially expand the view by clicking the '+' symbol. Then, I will narrow down my analysis specifically to 'csgo.exe' by selecting it, and I can further analyze other DLLs as needed.
脅威アクターによるオープンソース C2 フレームワークの利用が増加しているため、当社のレッド チームは、そのような広く使用されているフレームワークの 1 つの機能をシミュレートしました。この演習の目的は、青チームがこれらの特定の脅威に対する防御を強化できるように支援することです。イベント中に収集された貴重なリソースとなる PCAP ファイルと API を提供していただきました。では、狩猟プロセスを開始しましょう。API モニターの使用: PCAP および .EVTX ファイルを開くことはよく知っていますが、.apmx64 とは何ですか? .apmx64 ファイル拡張子は、アプリケーションやサービスによって行われる API 呼び出しを監視および制御するために使用されるソフトウェアである API Monitor に関連付けられています。分析を開始するには、以下の手順に従ってください。 API モニターをダウンロードします。 [ファイル] に移動し、[開く] をクリックして、ファイルからキャプチャされたデータを表示します: 「Employee.apmx64」または「DC01.apmx64」 ファイルを開いた後、 「プロセスの監視」ウィンドウにプロセスのリストが表示されます。「+」記号をクリックしてビューを展開すると、各プロセスに関連付けられたモジュールとスレッドが表示されます。API 呼び出しは「概要」ウィンドウで確認できます。特定のモジュールに焦点を当てて分析するには、プロセスによってロードされたさまざまな DLL をクリックします。ヒント: 分析を行うときは、DLL だけに焦点を当てるのではなく、プロセス自体によって行われる API 呼び出しを調べることから始めることをお勧めします。たとえば、csgo.exe という名前のプロセスの API 呼び出しを分析する場合は、最初に「+」記号をクリックしてビューを展開します。次に、「csgo.exe」を選択して分析対象を特に絞り込み、必要に応じて他の DLL をさらに分析できます。


  • API Monitorによるクライアントログ
  • パケットキャプチャ
  • Sysmonのevtxファイル



Task 1

To which IP address and port number is the malware attempting to establish a connection ?
マルウェアはどの IP アドレスとポート番号に対して接続を確立しようとしていますか?


Task 2

Now that you are aware of the IP address and port number, what is the JA3 fingerprint of the C2 server ?
IP アドレスとポート番号はわかったので、C2 サーバーの JA3 フィンガープリントは何でしょうか?


fullylegit/ja3: A wireshark/tshark plugin for the JA3 TLS Client Fingerprinting Algorithm

ip.addr == && tcp.port == 443でフィルタリングして出てきたNo.18487でJA3フィンガープリントを取得できる。19e29534fd49dd27d09234e639c4057e

Task 3

What is the name of the C2 framework being utilized by the red team ?
レッドチームが使用している C2 フレームワークの名前は何ですか?

Task 2のJA3フィンガープリントで検索すると以下サイトが見つかり、Silverであることが分かる。


Task 4

Which WIN32 API provided the red team with the current directory information ?
どの WIN32 API がレッド チームに現在のディレクトリ情報を提供しましたか?

API Monitorでcsgo.exeでの呼び出しを眺めるとある。

#    Time of Day Thread  Module  API Return Value    Error   Duration
8   4:31:34.820 PM  2   csgo.exe    GetCurrentDirectoryW ( 300, 0x000000c0001b7c88 )    31      0.0000031

Task 5

Now that we have identified the C2 framework utilized by the red team, which C2 command is responsible for opening notepad.exe by default and loading the .NET CLR into it ?
レッド チームが利用している C2 フレームワークが特定できたので、デフォルトで notepad.exe を開いて .NET CLR をロードするのはどの C2 コマンドですか?

silver c2あたりで検索してそれっぽいものを探す。ここを見るとexecute-assemblyだった。

Task 6

What is the name of the module (DLL) that was loaded to gain access to Windows Vault ?
Windows Vault にアクセスするためにロードされたモジュール (DLL) の名前は何ですか?

Task 5からnotepad.exeを見ればいいことは分かっているので、API Monitorでnotepad.exeでの呼び出しを眺めるとある。

#    Time of Day Thread  Module  API Return Value    Error   Duration
26913   4:34:00.866 PM  1   clr.dll LoadLibraryExW ( "vaultcli.dll", NULL, 0 )  0x00007fff16860000      0.0036025

Task 7

After loading the mentioned module, there were a series of WIN32 APIs loaded. Which specific Win32 API is responsible for enumerating vaults ?
前述のモジュールをロードした後、一連の WIN32 API がロードされました。ボールトの列挙を担当する特定の Win32 API はどれですか?

API Monitorでnotepad.exeでの呼び出しを眺めるとある。

#    Time of Day Thread  Module  API Return Value    Error   Duration
#   Time of Day Thread  Module  API Return Value    Error   Duration
26559   4:34:00.834 PM  1   clr.dll WideCharToMultiByte ( CP_UTF8, 0, "VaultEnumerateVaults", -1, NULL, 0, NULL, NULL ) 21      0.0000003

27267   4:34:00.898 PM  1   clr.dll GetProcAddress ( 0x00007fff16860000, "VaultOpenVault" ) 0x00007fff168638f0      0.0000030
27268   4:34:00.898 PM  1   clr.dll GetProcAddress ( 0x00007fff16860000, "VaultOpenVaultW" )    NULL    127 = 指定されたプロシージャが見つかりません。  0.0000023

27449   4:34:00.913 PM  1   clr.dll GetProcAddress ( 0x00007fff16860000, "VaultEnumerateItems" )    0x00007fff16862820      0.0000023
27450   4:34:00.913 PM  1   clr.dll GetProcAddress ( 0x00007fff16860000, "VaultEnumerateItemsW" )   NULL    127 = 指定されたプロシージャが見つかりません。  0.0000020

Task 8

Which command did the attacker execute to identify domain admins ?

API Monitorでcsgo.exeでの呼び出しを眺めるとある。

#    Time of Day Thread  Module  API Return Value    Error   Duration
1632    4:41:11.197 PM  4   csgo.exe    CreateProcessW ( "C:\WINDOWS\system32\net.exe", "net group "domain admins" /dom", NULL, NULL, TRUE, CREATE_UNICODE_ENVIRONMENT | EXTENDED_STARTUPINFO_PRESENT, 0x000000c0001c2000, NULL, 0x000000c00009b9f8, 0x000000c00009b8d8 )   TRUE        0.0113765

Task 9

The red team has provided us with a hint that they utilized one of the tools from "ARMORY" for lateral movement to DC01. What is the name of the tool ?
レッドチームは、DC01 への横方向の移動に「ARMORY」のツールの 1 つを利用したというヒントを提供してくれました。ツールの名前は何ですか?




Task 10

Which command was executed by the red team to extract/dump the contents of NTDS.DIT ?
NTDS.DIT​​ の内容を抽出/ダンプするためにレッド チームによって実行されたコマンドはどれですか?

DCのAPI MonitorでPID:7332で適当に探すとある。

#    Time of Day Thread  Module  API Return Value    Error   Duration
205 4:55:26.539 PM  1   cmd.exe wcschr ( "cmd /c ntdsutil "ac in ntds" ifm "cr fu %TEMP%\H00i0Z000.dat" q q", '/' ) 0x00007ff7afe92818      0.0000031

Task 11

The red team has obtained the aforementioned dump by compressing it into a ZIP file. Which specific Win32 API is responsible for retrieving the full path of the file to be downloaded?
レッド チームは、ZIP ファイルに圧縮して前述のダンプを取得しました。ダウンロードするファイルの完全パスを取得する役割を担うのは、どの Win32 API ですか?

DCのAPI MonitorでPID:1132で適当に探すとある。

#    Time of Day Thread  Module  API Return Value    Error   Duration
11515   5:04:27.591 PM  5   fifa24.exe  GetFullPathNameW ( "ntds.zip", 100, 0x000000c000076000, NULL )  38      0.0000065

Hack The Box Sherlocks - Ore Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

One of our technical partners are currently managing our AWS infrastructure. We requested the deployment of some technology into the cloud. The solution proposed was an EC2 instance hosting the Grafana application. Not too long after the EC2 was deployed the CPU usage ended up sitting at a continuous 98%+ for a process named "xmrig". Important Information Our organisation's office public facing IP is, upon the deployment of the application we carried out some basic vulnerability testing and maintenance.
現在、当社の技術パートナーの 1 人が AWS インフラストラクチャを管理しています。私たちは、いくつかのテクノロジークラウドに展開するよう要求しました。提案されたソリューションは、Grafana アプリケーションをホストする EC2 インスタンスでした。EC2 がデプロイされてからそれほど時間が経たないうちに、「xmrig」という名前のプロセスの CPU 使用率が継続的に 98% 以上に留まりました。重要な情報 私たちの組織のオフィスの公開 IP は です。アプリケーションの展開時に、いくつかの基本的な脆弱性テストとメンテナンスを実施しました。



Task 1

Which CVE lead to the initial compromise of the EC2?
EC2 の最初の侵害につながったのはどの CVE ですか?


Task 2

Please detail all malicious IP addresses used by the threat actor (TA) targeting our organisation.
私たちの組織を標的とする脅威アクター (TA) が使用するすべての悪意のある IP アドレスを詳しく教えてください。


2022-11-23T10:54:39Z |  | GET /public/plugins/alertlist/../../../../../../../../usr/share/grafana/conf/defaults.ini status=200
2022-11-23T10:57:00Z | | GET /public/plugins/alertlist/../../../../../../../../etc/passwd status=200
2022-11-23T11:17:07Z | | grafanaユーザーでログイン
2022-11-23T11:59:44Z |                | nc
2022-11-24T08:18:31Z | | grafanaユーザーでログアウト 21h01m
2022-11-24 08:30:01Z |                | wget


Task 3

Which account to the TA utilise to authenticate to the host OS?
TA はホスト OS への認証にどのアカウントを使用しますか?


Task 4

Which file did the TA modify in order to escalate privileges and run the mining service as "root"?
TA は権限を昇格して「root」としてマイニング サービスを実行するためにどのファイルを変更しましたか?

30 8 * * * /opt/automation/updater.sh


Task 5

Which program did the TA utilise to download the injector.sh script?
TA は、injector.sh スクリプトをダウンロードするためにどのプログラムを利用しましたか?


Task 6

Where was the crypto mining binary & config file initially downloaded to?


Task 7

Which program did the TA utilise to download both the crypto mining binary & configuration file?
TA は、暗号マイニング バイナリと構成ファイルの両方をダウンロードするためにどのプログラムを利用しましたか?

curlやろと思って検索するとcurlだった。あとでcurl -s -O -Oというコマンド実行も見つけた。

Task 8

We need to confirm the exact time the SOC team began artefact collection as this was not included in the report. They utilise the same public facing IP address as our system administrators in Lincoln.
SOC チームがアーティファクト収集を開始した正確な時刻はレポートに含まれていないため、確認する必要があります。彼らは、リンカーンのシステム管理者と同じパブリック IP アドレスを使用します。


Nov 24 15:01:00 ip-172-31-13-147 sysmon: <Event><System><Provider Name="Linux-Sysmon" Guid="{ff032593-a8d3-4f13-b0d6-01fc615a0f97}"/><EventID>11</EventID><Version>2</Version><Level>4</Level><Task>11</Task><Opcode>0</Opcode><Keywords>0x8000000000000000</Keywords><TimeCreated SystemTime="2022-11-24T15:01:00.508544000Z"/><EventRecordID>80918</EventRecordID><Correlation/><Execution ProcessID="1349" ThreadID="1349"/><Channel>Linux-Sysmon/Operational</Channel><Computer>ip-172-31-13-147</Computer><Security UserId="0"/></System><EventData><Data Name="RuleName">-</Data><Data Name="UtcTime">2022-11-24 15:01:00.511</Data><Data Name="ProcessGuid">{c9eb4a87-8703-637f-30e5-4b6291550000}</Data><Data Name="ProcessId">2355</Data><Data Name="Image">/usr/lib/openssh/sftp-server</Data><Data Name="TargetFilename">/home/ubuntu/Cat-Scale.sh</Data><Data Name="CreationUtcTime">2022-11-24 15:01:00.511</Data><Data Name="User">ubuntu</Data></EventData></Event>

Task 9

Please confirm the password left by the system administrator in some Grafana configuration files.
システム管理者が一部の Grafana 設定ファイルに残したパスワードを確認してください。


# default admin password, can be changed before first start of grafana, or in profile settings
admin_password = f0rela96789!

Task 10

What was the mining threads value set to when xmrig was initiated?
xmrig が開始されたときにマイニング スレッドの値は何に設定されましたか?


Nov 24 09:59:49 ip-172-31-60-25 xmrig[4090]: [2022-11-24 09:59:49.355] /usr/share/.logstxt/xmrig: unsupported non-option argument 'threads=0'

Task 11

Our CISO is requesting additional details surrounding which mining pool this may have been utilising. Please confirm which (if any) mining pool this the TA utilised.
当社の CISO は、これがどのマイニング プールを使用していた可能性があるかについて、追加の詳細を要求しています。TA がこれを使用したマイニング プール (存在する場合) を確認してください。


Nov 24 09:59:49 ip-172-31-60-25 xmrig[4090]: [2022-11-24 09:59:49#033[1;30m.736#033[0m] #033[44;1m#033[1;37m net     #033[0m #033[1;37muse pool #033[0m#033[1;36mmonero.herominers.com:10191 #033[0m#033[1;32mTLSv1.3#033[0m #033[1;30m141.95.126.31#033[0m#033[0m

Task 12

We couldn't locate the crypto mining binary and configuration file in the original download location. Where did the TA move them to on the file system?
元のダウンロード場所に暗号マイニング バイナリと構成ファイルが見つかりませんでした。TA はそれらをファイル システム上のどこに移動しましたか?


Nov 24 14:32:38 ip-172-31-13-147 xmrig[1089]: [2022-11-24 14:32:38.736] /usr/share/.logstxt/xmrig: unsupported non-option argument 'threads=0'

Task 13

We have been unable to forensically recover the "injector.sh" script for analysis. We believe the TA may have ran a command to prevent us doing recovering the file. What command did the TA run?
分析のために「injector.sh」スクリプトを法医学的に回復することができませんでした。私たちは、TA がファイルの回復を妨げるコマンドを実行した可能性があると考えています。TA はどのようなコマンドを実行しましたか?

catscale_out/Logs/var/log/syslogにshred -u ./injector.shというコマンドが残っている。

Task 14

How often does the cronjob created by our IT admins run for the script modified by the TA?
IT 管理者によって作成された cron ジョブは、TA によって変更されたスクリプトに対してどのくらいの頻度で実行されますか?

ip-172-31-13-147-20221124-1501-cron-tab-list.txtを見ると30 8 * * * /opt/automation/updater.shとあるのでここから分かる。

Hack The Box Sherlocks - Nubilum-1 Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

Our cloud administration team recently received a warning from Amazon that an EC2 instance deployed in our cloud environment is being utilised for malicious purposes. Our sysadmin team have no recollection of deploying this EC2, however do recall logging onto the AWS console and finding in excess of 6 EC2s running, which he did not recall deploying. You have been provided with the interview with our Cloud sysadmin within the triage.
当社のクラウド管理チームは最近、当社のクラウド環境にデプロイされた EC2 インスタンスが悪意のある目的に利用されているという警告を Amazon から受け取りました。当社のシステム管理チームは、この EC2 をデプロイした記憶はありませんが、AWS コンソールにログオンしたところ、6 つを超える EC2 が実行されていたことを覚えていますが、それをデプロイしたことは覚えていませんでした。トリアージ内でクラウド システム管理者とのインタビューが提供されています。



Task 1

Which AWS IAM account was compromised by the TA?
どの AWS IAM アカウントが TA によって侵害されましたか?




Task 2

Where did the attacker locate the hard coded IAM credentials?
攻撃者はハードコードされた IAM 認証情報をどこで見つけましたか?


Task 3

In total how many EC2 hosts were deployed by the TA?
TA によってデプロイされた EC2 ホストは合計何台ですか?


$ grep -ir "forela-ec2-automation" > ../../cloudtrail-automation.txt


$ cat cloudtrail-automation.txt | jq '.[] | select(.eventName == "RunInstances") | select(.sourceIPAddress | startswith("95.181.232"))' > RunInstances.json

RunInstancesの結果を見ればいい。requestParameters.instancesSetに設定が書いてあってminCount, maxCountを見ると何個インスタンスを一度に立ち上げているか分かる。後はこの個数を加算して答えればいいのだが、一部起動に失敗しているものがあるのでそれは除いてカウントすると13で正答。

Task 4

What is the name of the key pair/s generated by the attacker?
攻撃者によって生成されたキー ペアの名前は何ですか?


$ cat cloudtrail-automation.txt | jq '.[] | select(.eventName == "CreateKeyPair") | .eventTime, .responseElements.keyName, .responseElements.keyPairId'

より適当に回答の形式に合うものを探して、1337.key, 13337

Task 5

What time were the key pair/s generated by the attacker?

Task 4の結果から分かる。

Task 6

What are the key pair ID/s of the key/s generated by the attacker?
攻撃者が生成したキーのキー ペア ID は何ですか?

Task 4の結果から分かる。2つあるが、古い方を答えた。

Task 7

What is the description of the security group created by the attacker?
攻撃者が作成したセキュリティ グループの説明は何ですか?


$ cat cloudtrail-automation.txt | jq '.[] | select(.eventName == "CreateSecurityGroup") | .requestParameters.groupDescription'
"still here"


Task 8

At what time did the Sys Admin terminate the first set of EC2s deployed?
システム管理者は、デプロイされた最初の EC2 セットを終了したのはいつですか?


{"eventVersion":"1.08","userIdentity":{"type":"Root","principalId":"949622803460","arn":"arn:aws:iam::949622803460:root","accountId":"949622803460","accessKeyId":"ASIA52GPOBQCIDRARHDC","sessionContext":{"sessionIssuer":{},"webIdFederationData":{},"attributes":{"creationDate":"2023-01-24T21:39:05Z","mfaAuthenticated":"false"}}},"eventTime":"2023-01-24T23:25:55Z","eventSource":"ec2.amazonaws.com","eventName":"TerminateInstances","awsRegion":"eu-central-1","sourceIPAddress":"","userAgent":"AWS Internal","requestParameters":{"instancesSet":{"items":[{"instanceId":"i-0bcb452ea36482d60"},{"instanceId":"i-0f39235a3d18c5eb3"},{"instanceId":"i-035c686c2f06403df"},{"instanceId":"i-052952da73bd83e08"},{"instanceId":"i-03b481debe6710acd"},{"instanceId":"i-0e01dc48f0e1fa858"}]}},"responseElements":{"requestId":"7f119ebc-f624-4319-8236-85cb573dd270","instancesSet":{"items":[{"instanceId":"i-0f39235a3d18c5eb3","currentState":{"code":32,"name":"shutting-down"},"previousState":{"code":16,"name":"running"}},{"instanceId":"i-03b481debe6710acd","currentState":{"code":32,"name":"shutting-down"},"previousState":{"code":16,"name":"running"}},{"instanceId":"i-052952da73bd83e08","currentState":{"code":32,"name":"shutting-down"},"previousState":{"code":16,"name":"running"}},{"instanceId":"i-0e01dc48f0e1fa858","currentState":{"code":32,"name":"shutting-down"},"previousState":{"code":16,"name":"running"}},{"instanceId":"i-0bcb452ea36482d60","currentState":{"code":32,"name":"shutting-down"},"previousState":{"code":16,"name":"running"}},{"instanceId":"i-035c686c2f06403df","currentState":{"code":32,"name":"shutting-down"},"previousState":{"code":16,"name":"running"}}]}},"requestID":"7f119ebc-f624-4319-8236-85cb573dd270","eventID":"78ee414b-63c7-4405-a568-1ffcd77c17c6","readOnly":false,"eventType":"AwsApiCall","managementEvent":true,"recipientAccountId":"949622803460","eventCategory":"Management","sessionCredentialFromConsole":"true"}


Task 9

Can we confirm the IP addresses used by the TA to abuse the leaked credentials? (Ascending Order)
TA が漏洩した資格情報を悪用するために使用した IP アドレスを確認できますか? (昇順)


Task 10

In addition to the CloudTrail data and S3 access we have provided artefacts from the endpoint reported by AWS. What is the name of the malicious application installed on the EC2 instance?
CloudTrail データと S3 アクセスに加えて、AWS によって報告されたエンドポイントからのアーティファクトも提供しました。EC2 インスタンスにインストールされた悪意のあるアプリケーションの名前は何ですか?


Task 11

Please can you provide the hostname and username details of any victims of the C2 server?
C2 サーバーの被害者のホスト名とユーザー名の詳細を提供していただけますか?

nubilum_1_int/poshc2/money/poshc2_server.logを眺めると要求されている情報が書いてある。DESKTOP-R4KM0GJ\Marcus Athony

Hack The Box Sherlocks - Noted Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

Simon, a developer working at Forela, notified the CERT team about a note that appeared on his desktop. The note claimed that his system had been compromised and that sensitive data from Simon's workstation had been collected. The perpetrators performed data extortion on his workstation and are now threatening to release the data on the dark web unless their demands are met. Simon's workstation contained multiple sensitive files, including planned software projects, internal development plans, and application codebases. The threat intelligence team believes that the threat actor made some mistakes, but they have not found any way to contact the threat actors. The company's stakeholders are insisting that this incident be resolved and all sensitive data be recovered. They demand that under no circumstances should the data be leaked. As our junior security analyst, you have been assigned a specific type of DFIR (Digital Forensics and Incident Response) investigation in this case. The CERT lead, after triaging the workstation, has provided you with only the Notepad++ artifacts, suspecting that the attacker created the extortion note and conducted other activities with hands-on keyboard access. Your duty is to determine how the attack occurred and find a way to contact the threat actors, as they accidentally locked out their own contact information.
Forela で働く開発者 Simon は、デスクトップに表示されたメモについて CERT チームに通知しました。そのメモには、彼のシステムが侵害され、サイモンのワークステーションから機密データが収集されたと記載されていました。加害者は彼のワークステーションでデータ恐喝を実行し、現在、要求が満たされない場合はデータをダークウェブに公開すると脅迫しています。 Simon のワークステーションには、計画されたソフトウェア プロジェクト、内部開発計画、アプリケーション コードベースなど、複数の機密ファイルが含まれていました。脅威インテリジェンス チームは、脅威アクターが何らかのミスを犯したと考えていますが、脅威アクターに連絡する方法は見つかっていません。同社の関係者は、この事件を解決し、すべての機密データを回復するよう主張している。彼らは、いかなる状況においてもデータを漏洩してはならないと要求している。あなたは当社のジュニア セキュリティ アナリストとして、このケースでは特定の種類の DFIR (デジタル フォレンジックおよびインシデント対応) 調査を割り当てられました。 CERT リーダーは、ワークステーションを優先順位付けした後、Notepad++ アーティファクトのみを提供し、攻撃者が恐喝メモを作成し、実際にキーボード アクセスを使用してその他の活動を実行したのではないかと疑っています。あなたの義務は、攻撃がどのように発生したかを特定し、攻撃者が誤って自分の連絡先情報をロックしたため、攻撃者に連絡する方法を見つけることです。



Task 1

What is the full path of the script used by Simon for AWS operations?
Simon が AWS 操作に使用するスクリプトのフルパスは何ですか?

config.xmlを眺めるとそれっぽいフルパスがある。C:\Users\Simon.stark\Documents\Dev_Ops\AWS_objects migration.plが答え。

Task 2

The attacker duplicated some program code and compiled it on the system, knowing that the victim was a software engineer and had all the necessary utilities. They did this to blend into the environment and didn't bring any of their tools. This code gathered sensitive data and prepared it for exfiltration. What is the full path of the program's source file?
攻撃者は、被害者がソフトウェア エンジニアであり、必要なユーティリティをすべて持っていることを知りながら、プログラム コードの一部を複製し、システム上でコンパイルしました。彼らは環境に溶け込むためにこれを行っており、道具は何も持ち込んでいませんでした。このコードは機密データを収集し、流出の準備をしました。プログラムのソースファイルのフルパスは何ですか?


Task 3

What's the name of the final archive file containing all the data to be exfiltrated?
抽出されるすべてのデータが含まれる最終的なアーカイブ ファイルの名前は何ですか?


String zipFilePath = desktopDirectory + "Forela-Dev-Data.zip";


Task 4

What's the timestamp in UTC when attacker last modified the program source file?
攻撃者が最後にプログラム ソース ファイルを変更したときのタイムスタンプ (UTC) は何ですか?


<File firstVisibleLine="21" xOffset="0" scrollWidth="848" startPos="1697" endPos="1697" selMode="0" offset="0" wrapCount="1" lang="Java" encoding="-1" userReadOnly="no" filename="C:\Users\Simon.stark\Desktop\LootAndPurge.java" backupFilePath="C:\Users\Simon.stark\AppData\Roaming\Notepad++\backup\LootAndPurge.java@2023-07-24_145332" originalFileLastModifTimestamp="-1354503710" originalFileLastModifTimestampHigh="31047188" tabColourId="-1" mapFirstVisibleDisplayLine="-1" mapFirstVisibleDocLine="-1" mapLastVisibleDocLine="-1" mapNbLine="-1" mapHigherPos="-1" mapWidth="-1" mapHeight="-1" mapKByteInDoc="512" mapWrapIndentMode="-1" mapIsWrap="no" />


high = 31047188
low = -1354503710
print(high * 4294967296 + (4294967296 + low))

これで出てきた数値をここで変換すると、2023-07-24 09:53:23となり、これが答え。

Task 5

The attacker wrote a data extortion note after exfiltrating data. What is the crypto wallet address to which attackers demanded payment?

よく分からないが、backupのランサムノートにある https://pastes.io/mvc6sue6cf にアクセスして、LootAndPurge.javaに書いてあるパスワードで入ると書いてある。0xca8fa8f0b631ecdb18cda619c4fc9d197c8affcaが答え。

Task 6

What's the email address of the person to contact for support?
サポートの問い合わせ先の電子メール アドレスは何ですか?

Task 5と同じ所に答えがある。CyberJunkie@mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion

Hack The Box Sherlocks - Lockpick2.0 Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

We've been hit by Ransomware again, but this time the threat actor seems to have upped their skillset. Once again a they've managed to encrypt a large set of our files. It is our policy NOT to negotiate with criminals. Please recover the files they have encrypted - we have no other option! Unfortunately our CEO is on a no-tech retreat so can't be reached. Warning This is a warning that this Sherlock includes software that is going to interact with your computer and files. This software has been intentionally included for educational purposes and is NOT intended to be executed or used otherwise. Always handle such files in isolated, controlled, and secure environments. One the Sherlock zip has been unzipped, you will find a DANGER.txt file. Please read this to proceed.
私たちは再びランサムウェアの被害に遭いましたが、今回は脅威アクターのスキルセットが向上しているようです。もう一度、彼らは私たちの大規模なファイルセットを暗号化することに成功しました。犯罪者と交渉しないのが私たちのポリシーです。暗号化されたファイルを回復してください。他に選択肢はありません。残念ながら、弊社の CEO は技術関連のない休暇中のため、連絡が取れません。警告 これは、この Sherlock には、お使いのコンピュータやファイルと対話するソフトウェアが含まれていることを示す警告です。このソフトウェアは教育目的で意図的に含まれており、それ以外の方法で実行または使用することを意図したものではありません。このようなファイルは常に、隔離され、管理された安全な環境で処理してください。Sherlock zip を解凍すると、DANGER.txt ファイルが見つかります。続行するにはこれをお読みください。



Task 1

What type of encryption has been utilised to encrypt the files provided?


Task 2

Which market is our CEO planning on expanding into? (Please answer with the wording utilised in the PDF)
当社の CEO はどの市場への進出を計画していますか? (PDFに記載されている文言で回答してください)

UPXでパッキングされてたのでまずは解除する。upx -d update。AESであることはTask 1から分かっているので、その前提で読んでいくと以下のように復号化に必要な情報が手に入る。

Type: aes_256_cbc
key: f3fc056da1185eae370d76d47c4cf9db9f4efd1c1585cde3a7bcc6cb5889f6db
IV: 01448c7909939e13ce359710b9f0dc2e

これでファイル復号化ができ、expanding-horizons.pdfを開くとAustralian marketであると分かる。

Task 3

Please confirm the name of the bank our CEO would like to takeover?
当社の CEO が買収を希望している銀行の名前を確認してください。

takeover.docxを復号化するとNotionwide Bankであると分かる。

Task 4

What is the file name of the key utlised by the attacker?


$ curl https://rb.gy/3flsy -v
*   Trying
* Connected to rb.gy ( port 443 (#0)
< content-length: 0
< location: https://www.dropbox.com/s/2hqgpmtc2mdwij4/updater?dl=1


Task 5

What is the file hash of the key utilised by the attacker?
攻撃者が利用したキーのファイル ハッシュは何ですか?


$ md5sum updater 
950efb05238d9893366a816e6609500f  updater

Task 6

What is the BTC wallet address the TA is asking for payment to?
TA が支払いを求めている BTC ウォレット アドレスは何ですか?

ランサムノート share/countdown.txt をみると書いてある。

Task 7

How much is the TA asking for?
TA はいくら要求していますか?

ランサムノート share/countdown.txt をみると書いてある。A million poundsなので£1000000

Task 8

What was used to pack the malware?

Task 2よりupx

Hack The Box Sherlocks - Lockpick Writeup

Hack The Box Sherlocksとは

Sherlock Scenario

Forela needs your help! A whole portion of our UNIX servers have been hit with what we think is ransomware. We are refusing to pay the attackers and need you to find a way to recover the files provided. Warning This is a warning that this Sherlock includes software that is going to interact with your computer and files. This software has been intentionally included for educational purposes and is NOT intended to be executed or used otherwise. Always handle such files in isolated, controlled, and secure environments. One the Sherlock zip has been unzipped, you will find a DANGER.txt file. Please read this to proceed.
フォレラにはあなたの助けが必要です! UNIX サーバー全体がランサムウェアと思われる攻撃を受けています。私たちは攻撃者への支払いを拒否しており、提供されたファイルを回復する方法を見つける必要があります。警告 これは、この Sherlock には、お使いのコンピュータやファイルと対話するソフトウェアが含まれていることを示す警告です。このソフトウェアは教育目的で意図的に含まれており、それ以外の方法で実行または使用することを意図したものではありません。このようなファイルは常に、隔離され、管理された安全な環境で処理してください。Sherlock zip を解凍すると、DANGER.txt ファイルが見つかります。続行するにはこれをお読みください。



Task 1

Please confirm the encryption key string utilised for the encryption of the files provided?


Task 2

We have recently recieved an email from wbevansn1@cocolog-nifty.com demanding to know the first and last name we have him registered as. They believe they made a mistake in the application process. Please confirm the first and last name of this applicant.
最近、 wbevansn1@ cocolog-nifty.com から、登録している彼の姓名を知りたいというメールを受け取りました。彼らは申請プロセスで間違いを犯したと信じています。この申請者の姓名を確認してください。


Task 3

What is the MAC address and serial number of the laptop assigned to Hart Manifould?
Hart Manifold に割り当てられたラップトップの MAC アドレスとシリアル番号は何ですか?


Task 4

What is the email address of the attacker?
攻撃者の電子メール アドレスは何ですか?


Task 5

City of London Police have suspiciouns of some insider trading taking part within our trading organisation. Please confirm the email address of the person with the highest profit percentage in a single trade alongside the profit percentage.

import json

with open('trading-firebase_bkup.json') as fp:
    j = json.load(fp)
    ps = []
    for k, v in j.items():
        pp = v['profit_percentage']
        e = v['email']
    ps.sort(key=lambda pair: float(pair[0]))
    for p in ps:


Task 6

Our E-Discovery team would like to confirm the IP address detailed in the Sales Forecast log for a user who is suspected of sharing their account with a colleague. Please confirm the IP address for Karylin O'Hederscoll.
当社の電子情報開示チームは、同僚とアカウントを共有している疑いのあるユーザーの売上予測ログに詳細に記載されている IP アドレスを確認したいと考えています。Karylin O'Hederscoll の IP アドレスを確認してください。


Task 7

Which of the following file extensions is not targeted by the malware? .txt, .sql,.ppt, .pdf, .docx, .xlsx, .csv, .json, .xml 次のファイル拡張子のうち、マルウェアのターゲットにならないものはどれですか?.txt, .sql,.ppt, .pdf, .docx, .xlsx, .csv, .json, .xml


(pcVar2 = strstr(local_18->d_name,".txt"), pcVar2 != (char *)0x0 ||
(pcVar2 = strstr(local_18->d_name,".sql"), pcVar2 != (char *)0x0)) ||
(pcVar2 = strstr(local_18->d_name,".pdf"), pcVar2 != (char *)0x0)) ||
((pcVar2 = strstr(local_18->d_name,".docx"), pcVar2 != (char *)0x0 ||
(pcVar2 = strstr(local_18->d_name,".xlsx"), pcVar2 != (char *)0x0)))) ||
((pcVar2 = strstr(local_18->d_name,".csv"), pcVar2 != (char *)0x0 ||
((pcVar2 = strstr(local_18->d_name,".json"), pcVar2 != (char *)0x0 ||
(pcVar2 = strstr(local_18->d_name,".xml"), pcVar

.**t .ppt

Task 8

We need to confirm the integrity of the files once decrypted. Please confirm the MD5 hash of the applicants DB.

$ md5sum forela_uk_applicants.sql 
f3894af4f1ffa42b3a379dddba384405  forela_uk_applicants.sql

Task 9

We need to confirm the integrity of the files once decrypted. Please confirm the MD5 hash of the trading backup.

$ md5sum trading-firebase_bkup.json 
87baa3a12068c471c3320b7f41235669  trading-firebase_bkup.json

Task 10

We need to confirm the integrity of the files once decrypted. Please confirm the MD5 hash of the complaints file.
復号化したら、ファイルの整合性を確認する必要があります。苦情ファイルの MD5 ハッシュを確認してください。

$ md5sum complaints.csv            
c3f05980d9bd945446f8a21bafdbf4e7  complaints.csv