はまやんはまやんはまやん

hamayanhamayan's blog

Hack The Box Sherlocks - Constellation Writeup

https://app.hackthebox.com/sherlocks/Constellation
Hack The Box Sherlocksとは

Sherlock Scenario

The SOC team has recently been alerted to the potential existence of an insider threat. The suspect employee's workstation has been secured and examined. During the memory analysis, the Senior DFIR Analyst succeeded in extracting several intriguing URLs from the memory. These are now provided to you for further analysis to uncover any evidence, such as indications of data exfiltration or contact with malicious entities. Should you discover any information regarding the attacking group or individuals involved, you will collaborate closely with the threat intelligence team. Additionally, you will assist the Forensics team in creating a timeline. Warning : This Sherlock will require an element of OSINT and some answers can be found outside of the provided artifacts to complete fully.
SOC チームは最近、内部関係者の脅威が存在する可能性について警告を受けました。容疑者の従業員のワークステーションは確保され、検査されています。メモリ分析中に、上級 DFIR アナリストはメモリからいくつかの興味深い URL を抽出することに成功しました。これらは、データ漏洩や悪意のあるエンティティとの接触の兆候などの証拠を明らかにするためのさらなる分析のために提供されるようになりました。攻撃グループまたは関与した個人に関する情報を発見した場合は、脅威インテリジェンス チームと緊密に連携します。さらに、フォレンジック チームによるタイムラインの作成を支援します。 警告: この Sherlock には OSINT の要素が必要であり、完全に完了するには提供されたアーティファクトの外にいくつかの答えが見つかります。

constellation.zipが添付ファイルで2つのURLが書いてある。

  • URL 1 : hxxps://cdn[.]discordapp[.]com/attachments/1152635915429232640/1156461980652154931/NDA_Instructions.pdf?ex=65150ea6&is=6513bd26&hm=64de12da031e6e91cc4f35c64b2b0190fb040b69648a64365f8a8260760656e3&
  • URL 2 : hxxps://www[.]google.com/search?q=how+to+zip+a+folder+using+tar+in+linux&sca_esv=568736477&hl=en&sxsrf=AM9HkKkFWLlX_hC63KqDpJwdH9M3JL7LZA%3A1695792705892&source=hp&ei=Qb4TZeL2M9XPxc8PwLa52Ag&iflsig=AO6bgOgAAAAAZRPMUXuGExueXDMxHxU9iRXOL-GQIJZ-&oq=How+to+archive+a+folder+using+tar+i&gs_lp=Egdnd3Mtd2l6IiNIb3cgdG8gYXJjaGl2ZSBhIGZvbGRlciB1c2luZyB0YXIgaSoCCAAyBhAAGBYYHjIIEAAYigUYhgMyCBAAGIoFGIYDMggQABiKBRiGA0jI3QJQ8WlYxIUCcAx4AJABAJgBqQKgAeRWqgEEMi00NrgBAcgBAPgBAagCCsICBxAjGOoCGCfCAgcQIxiKBRgnwgIIEAAYigUYkQLCAgsQABiABBixAxiDAcICCBAAGIAEGLEDwgILEAAYigUYsQMYgwHCAggQABiKBRixA8ICBBAjGCfCAgcQABiKBRhDwgIOEC4YigUYxwEY0QMYkQLCAgUQABiABMICDhAAGIoFGLEDGIMBGJECwgIFEC4YgATCAgoQABiABBgUGIcCwgIFECEYoAHCAgUQABiiBMICBxAhGKABGArCAggQABgWGB4YCg&sclient=gws-wiz

OSINT要素もある問題のようだ。

Tasks

Task 1

When did the suspect first start Direct Message (DM) conversations with the external entity (A possible threat actor group which targets organizations by paying employees to leak sensitive data)? (UTC)
容疑者が初めて外部組織 (従業員にお金を払って機密データを漏洩させることで組織を標的にする脅威攻撃者グループの可能性) とダイレクト メッセージ (DM) での会話を始めたのはいつですか? (UTC

discordのURL 1から取得することができるのだろう。 https://dfir.blog/unfurl/ で解析可能。 Channel IDの横にあるタイムスタンプの日時が答え。2023-09-17 01:03:37

Task 2

What was the name of the file sent to the suspected insider threat?
内部関係者による脅威の疑いのある人物に送信されたファイルの名前は何ですか?

discordのURL 1を見るとファイル名が分かる。
NDA_Instructions.pdf

Task 3

When was the file sent to the suspected insider threat? (UTC)
内部関係者の脅威が疑われる人物にファイルが送信されたのはいつですか? (UTC

Task 1と同様にdiscordのURL 1をunfurlで解析してFile IDの横のタイムスタンプを答えると正答。
2023-09-27 05:27:02

Task 4

The suspect utilised Google to search something after receiving the file. What was the search query?
容疑者はファイルを受け取った後、Google を利用して何かを検索しました。検索クエリは何でしたか?

URL 2を見れば分かる。クエリストリングのqをURLデコードすると分かる。

Task 5

The suspect originally typed something else in search tab, but found a Google search result suggestion which they clicked on. Can you confirm which words were written in search bar by the suspect originally?
容疑者は当初、検索タブに別の文字を入力していたが、Google 検索結果の候補を見つけてクリックした。容疑者が最初に検索バーにどの単語を書き込んだのか確認できますか?

URL 2をよく解析すると分かるのだろう。
Googleの検索画面のURLについて調べてみた | DevelopersIO
この辺を参考に見ていこう。

oq=How+to+archive+a+folder+using+tar+iが怪しい。
How to archive a folder using tar iが答え。

Task 6

When was this Google search made? (UTC)
この Google 検索はいつ行われましたか? (UTC

同様にURL 2を見ていく。
時間につながりそうなのはsca_esv=568736477くらいしかない。
Google Videos Search "sca_esv" query parameter possible tracking
タイムスタンプっぽいが…違う。

このページに書いてあるunfurlというサイトを使ってみる。
https://dfir.blog/unfurl/
なんと別のタイムスタンプを得ることができ、そっちが正解。
2023-09-27 05:31:45

ちなみに同サイトにURL 1を入れ込んでみると見事にパースされて答えが出てきた。そっか…

Task 7

What is the name of the Hacker group responsible for bribing the insider threat? インサイダーの脅威に賄賂を贈ったハッカー グループの名前は何ですか?

URL 1を使ってpdfをダウンロードして中身を見てみる。

Constellation
Thanks For getting in touch with AntiCorp Gr04p, karen riley. We appreciate you in helping us get our hands on important data for forela. Ita high time we stand against billion dollars corporates who are playing monaply with common folks!! We are attaching instructions on how to get us the data securely.

これを見ると、攻撃者グループが分かる。AntiCorp Gr04p

Task 8

What is the name of the person suspected of being an Insider Threat?
内部脅威の疑いのある人物の名前は何ですか?

Task 7と同様にpdfをダウンロードして中身を見てみると書いてある。

Constellation
Thanks For getting in touch with AntiCorp Gr04p, karen riley. We appreciate you in helping us get our hands on important data for forela. Ita high time we stand against billion dollars corporates who are playing monaply with common folks!! We are attaching instructions on how to get us the data securely.

ここに書いてある。karen riley

Task 9

What is the anomalous stated creation date of the file sent to the insider threat? (UTC)
インサイダー脅威に送信されたファイルの異常な作成日は何ですか? (UTC

途中で問題が修正されてめちゃめちゃになっていた問題。pdfファイルでexiftoolを開くと作成日が見て取れる。

$ exiftool NDA_Instructions.pdf.bin 
ExifTool Version Number         : 12.67
File Name                       : NDA_Instructions.pdf.bin
Directory                       : .
File Size                       : 26 kB
File Modification Date/Time     : 2023:09:27 14:27:02+09:00
File Access Date/Time           : 2023:12:15 14:58:02+09:00
File Inode Change Date/Time     : 2023:12:15 12:54:16+09:00
File Permissions                : -rwxrwxrwx
File Type                       : PDF
File Type Extension             : pdf
MIME Type                       : application/pdf
PDF Version                     : 1.7
Linearized                      : No
Page Count                      : 1
Producer                        : AntiCorp PDF FW
Create Date                     : 2054:01:17 22:45:22+01:00
Title                           : KarenForela_Instructions
Author                          : CyberJunkie@AntiCorp.Gr04p
Creator                         : AntiCorp
Modify Date                     : 2054:01:17 22:45:22+01:00
Subject                         : Forela_Mining stats and data campaign (Stop destroying env) 

Create Date : 2054:01:17 22:45:22+01:00から答えが得られる。
UTCに変換しなくてもよかった。2054-01-17 22:45:22が答え。

Task 10

The Forela threat intel team are working on uncovering this incident. Any OpSec mistakes made by the attackers are crucial for Forela's security team. Try to help the TI team and confirm the real name of the agent/handler from Anticorp.
Forela 脅威情報チームは、この事件の解明に取り組んでいます。攻撃者による OpSec のミスは、Forela のセキュリティ チームにとって非常に重要です。 TI チームを支援し、Anticorp のエージェント/ハンドラーの本名を確認してください。

攻撃者グループ名で検索してみると、LinkedInが見つかる。
AntiCorp Gr04p - Google 検索
この人?

Task 11

Which City does the threat actor belongs to?
脅威アクターはどの都市に属していますか?

上のLinkedInを見ると、Security Expert at AntiCorp Gr04p. AntiCorp Gr04p. Bahawalpur, Punjab, Pakistan.と書いてある。
Bahawalpurが答え。