はまやんはまやんはまやん

hamayanhamayan's blog

Hack The Box Sherlocks - Noted Writeup

Security

https://app.hackthebox.com/sherlocks/Noted
Hack The Box Sherlocksとは

Sherlock Scenario

Simon, a developer working at Forela, notified the CERT team about a note that appeared on his desktop. The note claimed that his system had been compromised and that sensitive data from Simon's workstation had been collected. The perpetrators performed data extortion on his workstation and are now threatening to release the data on the dark web unless their demands are met. Simon's workstation contained multiple sensitive files, including planned software projects, internal development plans, and application codebases. The threat intelligence team believes that the threat actor made some mistakes, but they have not found any way to contact the threat actors. The company's stakeholders are insisting that this incident be resolved and all sensitive data be recovered. They demand that under no circumstances should the data be leaked. As our junior security analyst, you have been assigned a specific type of DFIR (Digital Forensics and Incident Response) investigation in this case. The CERT lead, after triaging the workstation, has provided you with only the Notepad++ artifacts, suspecting that the attacker created the extortion note and conducted other activities with hands-on keyboard access. Your duty is to determine how the attack occurred and find a way to contact the threat actors, as they accidentally locked out their own contact information.
Forela で働く開発者 Simon は、デスクトップに表示されたメモについて CERT チームに通知しました。そのメモには、彼のシステムが侵害され、サイモンのワークステーションから機密データが収集されたと記載されていました。加害者は彼のワークステーションでデータ恐喝を実行し、現在、要求が満たされない場合はデータをダークウェブに公開すると脅迫しています。 Simon のワークステーションには、計画されたソフトウェア プロジェクト、内部開発計画、アプリケーション コードベースなど、複数の機密ファイルが含まれていました。脅威インテリジェンス チームは、脅威アクターが何らかのミスを犯したと考えていますが、脅威アクターに連絡する方法は見つかっていません。同社の関係者は、この事件を解決し、すべての機密データを回復するよう主張している。彼らは、いかなる状況においてもデータを漏洩してはならないと要求している。あなたは当社のジュニア セキュリティ アナリストとして、このケースでは特定の種類の DFIR (デジタル フォレンジックおよびインシデント対応) 調査を割り当てられました。 CERT リーダーは、ワークステーションを優先順位付けした後、Notepad++ アーティファクトのみを提供し、攻撃者が恐喝メモを作成し、実際にキーボード アクセスを使用してその他の活動を実行したのではないかと疑っています。あなたの義務は、攻撃がどのように発生したかを特定し、攻撃者が誤って自分の連絡先情報をロックしたため、攻撃者に連絡する方法を見つけることです。

Notepad++のアーティファクトが与えられる。つまりC:/Users/Simon.stark/AppData/Roaming/Notepad++直下のファイル群が与えられる。

Tasks

Task 1

What is the full path of the script used by Simon for AWS operations?
Simon が AWS 操作に使用するスクリプトのフルパスは何ですか?

config.xmlを眺めるとそれっぽいフルパスがある。C:\Users\Simon.stark\Documents\Dev_Ops\AWS_objects migration.plが答え。

Task 2

The attacker duplicated some program code and compiled it on the system, knowing that the victim was a software engineer and had all the necessary utilities. They did this to blend into the environment and didn't bring any of their tools. This code gathered sensitive data and prepared it for exfiltration. What is the full path of the program's source file?
攻撃者は、被害者がソフトウェア エンジニアであり、必要なユーティリティをすべて持っていることを知りながら、プログラム コードの一部を複製し、システム上でコンパイルしました。彼らは環境に溶け込むためにこれを行っており、道具は何も持ち込んでいませんでした。このコードは機密データを収集し、流出の準備をしました。プログラムのソースファイルのフルパスは何ですか?

session.xmlを見るとバックアップが取られているjavaファイルのフルパスが書いてある。C:\Users\Simon.stark\Desktop\LootAndPurge.javaが答え。

Task 3

What's the name of the final archive file containing all the data to be exfiltrated?
抽出されるすべてのデータが含まれる最終的なアーカイブ ファイルの名前は何ですか?

backupフォルダにあるLootAndPurge.javaにzipファイル名が含まれていた。

String zipFilePath = desktopDirectory + "Forela-Dev-Data.zip";

Forela-Dev-Data.zipが答え。

Task 4

What's the timestamp in UTC when attacker last modified the program source file?
攻撃者が最後にプログラム ソース ファイルを変更したときのタイムスタンプ (UTC) は何ですか?

session.xmlにタイムスタンプが含まれている。

<File firstVisibleLine="21" xOffset="0" scrollWidth="848" startPos="1697" endPos="1697" selMode="0" offset="0" wrapCount="1" lang="Java" encoding="-1" userReadOnly="no" filename="C:\Users\Simon.stark\Desktop\LootAndPurge.java" backupFilePath="C:\Users\Simon.stark\AppData\Roaming\Notepad++\backup\LootAndPurge.java@2023-07-24_145332" originalFileLastModifTimestamp="-1354503710" originalFileLastModifTimestampHigh="31047188" tabColourId="-1" mapFirstVisibleDisplayLine="-1" mapFirstVisibleDocLine="-1" mapLastVisibleDocLine="-1" mapNbLine="-1" mapHigherPos="-1" mapWidth="-1" mapHeight="-1" mapKByteInDoc="512" mapWrapIndentMode="-1" mapIsWrap="no" />

ここを参考に計算する。

high = 31047188
low = -1354503710
print(high * 4294967296 + (4294967296 + low))

これで出てきた数値をここで変換すると、2023-07-24 09:53:23となり、これが答え。

Task 5

The attacker wrote a data extortion note after exfiltrating data. What is the crypto wallet address to which attackers demanded payment?
攻撃者はデータを引き出した後、データ強要メモを書きました。攻撃者が支払いを要求した暗号通貨ウォレットのアドレスは何ですか?

よく分からないが、backupのランサムノートにある https://pastes.io/mvc6sue6cf にアクセスして、LootAndPurge.javaに書いてあるパスワードで入ると書いてある。0xca8fa8f0b631ecdb18cda619c4fc9d197c8affcaが答え。

Task 6

What's the email address of the person to contact for support?
サポートの問い合わせ先の電子メール アドレスは何ですか?

Task 5と同じ所に答えがある。CyberJunkie@mail2torjgmxgexntbrmhvgluavhj7ouul5yar6ylbvjkxwqf6ixkwyd.onion