はまやんはまやんはまやん

hamayanhamayan's blog

Hack The Box Sherlocks - Hyperfiletable Writeup

https://app.hackthebox.com/sherlocks/Hyperfiletable
Hack The Box Sherlocksとは

Sherlock Scenario

There has been a new joiner in Forela, they have downloaded their onboarding documentation, however someone has managed to phish the user with a malicious attachment. We have only managed to pull the MFT record for the new user, are you able to triage this information?
Forela に新しい参加者がいて、オンボーディング ドキュメントをダウンロードしましたが、誰かが悪意のある添付ファイルでユーザーをフィッシングすることに成功しました。新しいユーザーの MFT レコードしか取得できませんでしたが、この情報を優先順位付けできますか?

mft.rawというドライブのMFT(:Master File Table)が与えられるので設問に答えていく。

Tasks

Task 1

What is the MD5 hash of the MFT?
MFT の MD5 ハッシュは何ですか?

$ md5sum mft.raw
3730c2fedcdc3ecd9b83cbea08373226  mft.raw

Task 2

What is the name of the only user on the system?
システム上の唯一のユーザーの名前は何ですか?

ZimmermanToolsのMFTECmd.exeで解析していく。

PS> MFTECmd.exe -f mft.raw --csv out

csvが出力されるのでTimeline Explorerで眺めると、
.\Users\Randy Savage\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Dataみたいなパスが見つかる。

Task 3

What is the name of the malicious HTA that was downloaded by that user?
そのユーザーがダウンロードした悪意のある HTA の名前は何ですか?

出力されたcsvgrepすると答えが見つかる。

$ cat 20231118070900_MFTECmd_\$MFT_Output.csv | grep "\.hta"
103820,7,True,105011,2,.\Users\Randy Savage\Downloads,Onboarding.hta,.hta,1144,1,,False,True,False,False,False,False,Archive,Windows,2023-04-05 13:21:40.0706726,,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.0732403,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.2279587,2023-04-05 13:22:00.9916344,2023-04-05 13:21:40.0732403,27166224,375731114,1793,,,    
103820,7,True,105011,2,.\Users\Randy Savage\Downloads,Onboarding.hta:Zone.Identifier,.Identifier,389,1,,False,False,True,False,False,False,Archive,Windows,2023-04-05 13:21:40.0706726,,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.0732403,2023-04-05 13:21:45.6478863,2023-04-05 13:21:40.2279587,2023-04-05 13:22:00.9916344,2023-04-05 13:21:40.0732403,27166224,375731114,1793,,,"[ZoneTransfer]

Task 4

What is the ZoneId of the download for the malicious HTA file?
悪意のある HTA ファイルのダウンロードの ZoneId は何ですか?

103820のZoneTransferを見てみるとZoneId=3とある。

Task 5

What is the download URL for the malicious HTA?
悪意のある HTA のダウンロード URL は何ですか?

Task 4と同じ所に書いてある。

Task 6

What is the allocated size for the HTA file? (bytes)
HTA ファイルに割り当てられるサイズはどれくらいですか? (バイト)

Task 4のファイルではあるが、MFTECmd.exeでは良い感じに見れない。
うーんと思ってさまよっていると、以下のようなツールがあり使ってみると、Physical Sizeが見られる。
https://sites.google.com/view/kumaa/software/mft-ntfs-explorer

Task 7

What is the real size of the HTA file? (bytes)
HTA ファイルの実際のサイズはどれくらいですか? (バイト)

Task 4と同じ所に書いてある。

Task 8

When was the powerpoint presentation downloaded by the user?
ユーザーが PowerPoint プレゼンテーションをダウンロードしたのはいつですか?

色々探すと105622にProposal.pptxがあった。

Line Tag Entry Number    Sequence Number Parent Entry Number Parent Sequence Number  In Use  Parent Path File Name   Extension   Is Directory    Has Ads Is Ads  File Size   Created0x10 Created0x30 Last Modified0x10   Last Modified0x30   Last Record Change0x10  Last Record Change0x30  Last Access0x10 Last Access0x30 Zone Id Contents    Reparse Target  Reference Count SI<FN    u Sec Zeros Copied
139852  チェックなし  105622  4   107430  3   チェックなし  .\Users\Randy Savage\Documents\Work Proposal.pptx   .pptx   チェックなし  チェックあり  チェックなし  16552989    2023-04-05 13:11:49     2023-04-05 13:11:53     2023-04-05 13:12:14 2023-04-05 13:11:53 2023-04-05 13:11:53             1   チェックなし  チェックなし  チェックなし
139853  チェックなし  105622  4   107430  3   チェックなし  .\Users\Randy Savage\Documents\Work Proposal.pptx:Zone.Identifier   .Identifier チェックなし  チェックなし  チェックあり  253 2023-04-05 13:11:49     2023-04-05 13:11:53     2023-04-05 13:12:14 2023-04-05 13:11:53 2023-04-05 13:11:53     "[ZoneTransfer]
ZoneId=3
HostUrl=https://doc-00-74-slides.googleusercontent.com/export/9etqlefsb6ag0v7ccvvsuuv79k/h3mmec1fs2af8n60d48rub6hoc/1680708410000/117027713603155848197/*/1b2C-JaPMvvrosQiNyLBX2LZLPhx1vIDPKfG686ZVXHQ?authuser&exportFormat=pptx
"       1   チェックなし  チェックなし  チェックなし

Createdを採用すると正答だった。

Task 9

The user has made notes of their work credentials, what is their password?
ユーザーは仕事用の資格情報をメモしていますが、パスワードは何ですか?

C:\Users\Randy Savage\Documents\Work\notes.txtというファイルがあり、残存データを見てみるとパスワードが残っていた。

Task 10

How many files remain under the C:\Users\ directory? (Recursively)
C:\Users\ ディレクトリにはいくつのファイルが残っていますか? (再帰的)

csv結果を「Contains([Parent Path], '\Users\') And [Is Directory] = False And [Is Ads] = False And [In Use] = True」でフィルタリングすると3478件になったので適当に周辺の数字を出してみると3471にすると通った。