はまやんはまやんはまやん

hamayanhamayan's blog

Hack The Box Sherlocks - OpTinselTrace-1 Writeup

Security

https://app.hackthebox.com/sherlocks/OpTinselTrace-1
Hack The Box Sherlocksとは

Sherlock Scenario

An elf named "Elfin" has been acting rather suspiciously lately. He's been working at odd hours and seems to be bypassing some of Santa's security protocols. Santa's network of intelligence elves has told Santa that the Grinch got a little bit too tipsy on egg nog and made mention of an insider elf! Santa is very busy with his naughty and nice list, so he’s put you in charge of figuring this one out. Please audit Elfin’s workstation and email communications.
エルフィン」という名前のエルフ。最近はかなり挙動不審です。彼は変な時間に働いており、サンタのセキュリティプロトコルの一部を回避しているようです。サンタの諜報エルフのネットワークはサンタに、グリンチエッグノッグで少しほろ酔いになりすぎて、内通者のエルフについて言及したと伝えました。サンタはいたずらで素敵なリストを作るのに大忙しなので、あなたにこのリストを作成するよう命じています。 Elfin のワークステーションと電子メール通信を監査してください。

2023年のSherlocksクリスマスイベント問題の1問目。
Windowsに対するフォレンジックデータが添付されるので、問題文の誘導に従って解析していく。
中々怖い標的型メールが題材。

Tasks

Task 1

What is the name of the email client that Elfin is using?
Elfin が使用している電子メール クライアントの名前は何ですか?

ElfinのAppDataを見てみよう。
TriageData/C/users/Elfin/Appdata/Roaming/eM Clientというのが見つかる。
eM Client???と思って調べるとメールクライアントだった。eM Clientが答え。

Task 2

What is the email the threat is using?
脅威が使用している電子メールは何ですか?

ログデータをそのままコピーすることで環境を再現してみる。
eM Clientをインストールし、AppDataの該当フォルダをTriageData/C/users/Elfin/Appdata/Roaming/eM Client
で丸ごと上書きして起動すると中身を開くことができた。
自分はelfinbestelfxmas4eva@gmail.comでメールのやりとりをしていく、きな臭い内容のメールの相手を入れてみると答えだった。definitelynotthegrinch@gmail.com が答え。

Task 3

When does the threat actor reach out to Elfin?
脅威アクターはいつエルフィンに連絡を取りますか?

definitelynotthegrinch@gmail.comをクリックするとメッセージ一覧が出るので最も古いコンタクトのHi there xを見てみる。
Sentを見ると 11/28/2023 2:27:26 AM と書いてあり、これは閲覧環境のローカルタイムになっているので、
これをUTCに変換した 2023-11-27 17:27:26 が答え。

Task 4

What is the name of Elfins boss?
エルフィンズのボスの名前は何ですか?

get it DONE elfinというメールを見ると、2番目の返信でI'm trying my best bossとある。
つまり、ボス宛のメールになっているので、
elfuttin bigelf <elfuttinmastermind@yahoo.com>がボス。

Task 5

What is the title of the email in which Elfin first mentions his access to Santas special files?
エルフィンがサンタの特別ファイルへのアクセスについて最初に言及した電子メールのタイトルは何ですか?

メールを巡回すると Also I have access to some of santas special binaries.. not to brag lol とある。
このメールのタイトルは Re: workで正答。

Task 6

The threat actor changes their name, what is the new name + the date of the first email Elfin receives with it?
脅威アクターは名前を変更します。新しい名前と Elfin が最初に受け取った電子メールの日付は何ですか?

definitelynotthegrinch@gmail.comをクリックしたリストを眺めるとbinariesという件名のメールで名前が変わっていることが分かる。
Sent: 11/28/2023 7:00:21 PMと書いてあるので、これをJST -> UTCに変換して名前とともに答える。
Wendy Elflower, 2023-11-28 10:00:21

Task 7

What is the name of the bar that Elfin offers to meet the threat actor at?
エルフィンが脅威アクターと会うために申し出たバーの名前は何ですか?

メールbinariesにて、

i would really like that - what's your favourite flavour? I heard the SnowGlobe bar has cinnamon flavored now... we could go there?

とやりとりがあるため、SnowGlobeが正解。

Task 8

When does Elfin offer to send the secret files to the actor?
Elfin が秘密ファイルを攻撃者に送信すると申し出たのはいつですか?

メール binaries から攻撃者による情報漏洩のお誘いが続いている。
そして、メール can't wait any longer によって、送信すると申し出てしまう。

So the project is super crucial to something santa is doing, he is very private about details but all I know is he is being VERY cautious about a couple super smart binary files... you want me to send them to you??

2023-11-28 16:56:13が答え。

Task 9

What is the search string for the first suspicious google search from Elfin? (Format: string)
Elfin からの最初の不審な Google 検索の検索文字列は何ですか? (形式: 文字列)

Chromeのプロファイルデータが残っているので、それを解析することで分かる。
TriageData/C/users/Elfin/Appdata/Local/Google/Chrome/User Data/Default/Historyをsqlitebrowserで開き、
urlsテーブルのtitleを見ていく。
その中でも一番最初に出てきた怪しいタイトルを答えると正答だった。
how to get around work security

Task 10

What is the name of the author who wrote the article from the CIA field manual?
CIA フィールドマニュアルの記事を書いた著者の名前は何ですか?

ブラウザの閲覧履歴を探すと以下のURLが見つかる。

https://www.corporate-rebels.com/blog/cia-field-manual

このブログの著者はJoost Minnaar

Task 11

What is the name of Santas secret file that Elfin sent to the actor?
エルフィンが俳優に送ったサンタの秘密ファイルの名前は何ですか?

件名なしでファイルが送られている。
santa_deliveries.zip

Task 12

According to the filesystem, what is the exact CreationTime of the secret file on Elfins host?
ファイルシステムによると、Elfins ホスト上のシークレット ファイルの正確な作成時刻は何時ですか?

optinseltrace1/elfidence_collection/TriageData/C/users/Elfin/Appdata/Roaming/top-secret/santa_deliveries.zip
と該当zipが置いてある。

$ exiftool santa_deliveries.zip 
ExifTool Version Number         : 12.67
File Name                       : santa_deliveries.zip
Directory                       : .
File Size                       : 13 kB
File Modification Date/Time     : 2023:11:29 02:01:29+09:00
File Access Date/Time           : 2023:12:20 10:18:26+09:00
File Inode Change Date/Time     : 2023:12:19 23:53:16+09:00

File Modification Date/Timeとして書いてある日付をUTCにして答えると正答。
2023-11-28 17:01:29

Task 13

What is the full directory name that Elfin stored the file in?
Elfin がファイルを保存した完全なディレクトリ名は何ですか?

何故かoptinseltrace1/elfidence_collection/TriageData/C/users/Elfin/Appdata/Roaming/top-secret
santa_deliveriessanta_deliveries.zipがある。
よって、C:\users\Elfin\Appdata\Roaming\top-secretが答え。

Task 14

Which country is Elfin trying to flee to after he exfiltrates the file?
エルフィンはファイルを盗み出した後、どこの国へ逃亡しようとしているのでしょうか?

Task 9で見た検索履歴を見れば分かる。
flights to greece - Google Searchという履歴が残っているためgreece

Task 15

What is the email address of the apology letter the user (elfin) wrote out but didn’t send?
ユーザー (elfin) が書いたものの送信しなかった謝罪文のメール アドレスは何ですか?

DraftsフォルダにI can't do this anymore santa im sorryuという件名のメールが残っていた。
宛先はsanta.claus@gmail.comで懺悔の内容だった。
サンタのメールアドレスが答え。santa.claus@gmail.com

Task 16

The head elf PixelPeppermint has requested any passwords of Elfins to assist in the investigation down the line. What’s the windows password of Elfin’s host?
エルフ長のピクセルペパーミントは、今後の調​​査を支援するためにエルフィンのパスワードを要求しました。 Elfin のホストの Windows パスワードは何ですか?

収集できているアーティファクトを見ると、レジストリが含まれているので、ここからNTLMハッシュを抜き出してクラックできないか試す。

  1. dockerで環境準備 docker run -v ${PWD}:/mnt --rm -it python:latest /bin/bash
  2. pip3 install pypykatz
  3. pypykatz registry --sam sam systemで抜く
HBoot Key: ad46560ea15b7d45a41bceda661cc5d110101010101010101010101010101010
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:95199bba413194e567908de6220d677e:::
Elfin:1001:aad3b435b51404eeaad3b435b51404ee:529848fe56902d9595be4a608f9fbe89:::

NTLMハッシュが抜けるので、Elfinの529848fe56902d9595be4a608f9fbe89をCrackStationで検索すると
Santaknowskungfuと分かる。