https://app.hackthebox.com/sherlocks/Hyperfiletable
Hack The Box Sherlocksとは
Sherlock Scenario
There has been a new joiner in Forela, they have downloaded their onboarding documentation, however someone has managed to phish the user with a malicious attachment. We have only managed to pull the MFT record for the new user, are you able to triage this information?
Forela に新しい参加者がいて、オンボーディング ドキュメントをダウンロードしましたが、誰かが悪意のある添付ファイルでユーザーをフィッシングすることに成功しました。新しいユーザーの MFT レコードしか取得できませんでしたが、この情報を優先順位付けできますか?
mft.rawというドライブのMFT(:Master File Table)が与えられるので設問に答えていく。
Tasks
Task 1
$ md5sum mft.raw 3730c2fedcdc3ecd9b83cbea08373226 mft.raw
Task 2
What is the name of the only user on the system?
システム上の唯一のユーザーの名前は何ですか?
ZimmermanToolsのMFTECmd.exeで解析していく。
PS> MFTECmd.exe -f mft.raw --csv out
csvが出力されるのでTimeline Explorerで眺めると、
.\Users\Randy Savage\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data
みたいなパスが見つかる。
Task 3
What is the name of the malicious HTA that was downloaded by that user?
そのユーザーがダウンロードした悪意のある HTA の名前は何ですか?
$ cat 20231118070900_MFTECmd_\$MFT_Output.csv | grep "\.hta" 103820,7,True,105011,2,.\Users\Randy Savage\Downloads,Onboarding.hta,.hta,1144,1,,False,True,False,False,False,False,Archive,Windows,2023-04-05 13:21:40.0706726,,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.0732403,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.2279587,2023-04-05 13:22:00.9916344,2023-04-05 13:21:40.0732403,27166224,375731114,1793,,, 103820,7,True,105011,2,.\Users\Randy Savage\Downloads,Onboarding.hta:Zone.Identifier,.Identifier,389,1,,False,False,True,False,False,False,Archive,Windows,2023-04-05 13:21:40.0706726,,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.0732403,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.2279587,2023-04-05 13:22:00.9916344,2023-04-05 13:21:40.0732403,27166224,375731114,1793,,,"[ZoneTransfer]
Task 4
What is the ZoneId of the download for the malicious HTA file?
悪意のある HTA ファイルのダウンロードの ZoneId は何ですか?
103820のZoneTransferを見てみるとZoneId=3
とある。
Task 5
What is the download URL for the malicious HTA?
悪意のある HTA のダウンロード URL は何ですか?
Task 4と同じ所に書いてある。
Task 6
What is the allocated size for the HTA file? (bytes)
HTA ファイルに割り当てられるサイズはどれくらいですか? (バイト)
Task 4のファイルではあるが、MFTECmd.exeでは良い感じに見れない。
うーんと思ってさまよっていると、以下のようなツールがあり使ってみると、Physical Sizeが見られる。
https://sites.google.com/view/kumaa/software/mft-ntfs-explorer
Task 7
What is the real size of the HTA file? (bytes)
HTA ファイルの実際のサイズはどれくらいですか? (バイト)
Task 4と同じ所に書いてある。
Task 8
When was the powerpoint presentation downloaded by the user?
ユーザーが PowerPoint プレゼンテーションをダウンロードしたのはいつですか?
色々探すと105622にProposal.pptxがあった。
Line Tag Entry Number Sequence Number Parent Entry Number Parent Sequence Number In Use Parent Path File Name Extension Is Directory Has Ads Is Ads File Size Created0x10 Created0x30 Last Modified0x10 Last Modified0x30 Last Record Change0x10 Last Record Change0x30 Last Access0x10 Last Access0x30 Zone Id Contents Reparse Target Reference Count SI<FN u Sec Zeros Copied 139852 チェックなし 105622 4 107430 3 チェックなし .\Users\Randy Savage\Documents\Work Proposal.pptx .pptx チェックなし チェックあり チェックなし 16552989 2023-04-05 13:11:49 2023-04-05 13:11:53 2023-04-05 13:12:14 2023-04-05 13:11:53 2023-04-05 13:11:53 1 チェックなし チェックなし チェックなし 139853 チェックなし 105622 4 107430 3 チェックなし .\Users\Randy Savage\Documents\Work Proposal.pptx:Zone.Identifier .Identifier チェックなし チェックなし チェックあり 253 2023-04-05 13:11:49 2023-04-05 13:11:53 2023-04-05 13:12:14 2023-04-05 13:11:53 2023-04-05 13:11:53 "[ZoneTransfer] ZoneId=3 HostUrl=https://doc-00-74-slides.googleusercontent.com/export/9etqlefsb6ag0v7ccvvsuuv79k/h3mmec1fs2af8n60d48rub6hoc/1680708410000/117027713603155848197/*/1b2C-JaPMvvrosQiNyLBX2LZLPhx1vIDPKfG686ZVXHQ?authuser&exportFormat=pptx " 1 チェックなし チェックなし チェックなし
Createdを採用すると正答だった。
Task 9
The user has made notes of their work credentials, what is their password?
ユーザーは仕事用の資格情報をメモしていますが、パスワードは何ですか?
C:\Users\Randy Savage\Documents\Work\notes.txt
というファイルがあり、残存データを見てみるとパスワードが残っていた。
Task 10
How many files remain under the C:\Users\ directory? (Recursively)
C:\Users\ ディレクトリにはいくつのファイルが残っていますか? (再帰的)
csv結果を「Contains([Parent Path], '\Users\') And [Is Directory] = False And [Is Ads] = False And [In Use] = True」でフィルタリングすると3478件になったので適当に周辺の数字を出してみると3471にすると通った。