https://app.hackthebox.com/sherlocks/Tracer
Hack The Box Sherlocksとは
Sherlock Scenario
A junior SOC analyst on duty has reported multiple alerts indicating the presence of PsExec on a workstation. They verified the alerts and escalated the alerts to tier II. As an Incident responder you triaged the endpoint for artefacts of interest. Now please answer the questions regarding this security event so you can report it to your incident manager.
当直の若手 SOC アナリストが、ワークステーション上に PsExec が存在することを示す複数のアラートを報告しました。彼らはアラートを検証し、アラートを Tier II にエスカレーションしました。インシデント対応者として、あなたはエンドポイントで関心のあるアーティファクトをトリアージしました。次に、このセキュリティ イベントに関する質問に答えて、インシデント マネージャーに報告してください。
Tasks
Task 1
The SOC Team suspects that an adversary is lurking in their environment and are using PsExec to move laterally. A junior SOC Analyst specifically reported the usage of PsExec on a WorkStation. How many times was PsExec executed by the attacker on the system?
SOC チームは、敵が環境内に潜んで PsExec を使用して横方向に移動しているのではないかと考えています。若手 SOC アナリストは、ワークステーションでの PsExec の使用法を具体的に報告しました。システム上で攻撃者によって PsExec が何回実行されましたか?
WinPrefetchViewでPrefetchフォルダを開き、PSEXECのRun Counterを見ると9回実行されていた。
Task 2
What is the name of the service binary dropped by PsExec tool allowing attacker to execute remote commands?
攻撃者がリモート コマンドを実行できるようにする PsExec ツールによってドロップされるサービス バイナリの名前は何ですか?
Taks 1と同じところを見ると参照ファイルの一覧があるのでそれっぽいものを提出すると正答。psexesvc.exe
Task 3
Now we have confirmed that PsExec ran multiple times, we are particularly interested in the 5th Last instance of the PsExec. What is the timestamp when the PsExec Service binary ran?
PsExec が複数回実行されたことを確認しました。特に、PsExec の最後の 5 番目のインスタンスに注目します。PsExec サービス バイナリが実行されたときのタイムスタンプは何ですか?
PSEXESVC.EXE-AD70946C.pf 9/7/2023 8:10:04 AM 9/7/2023 8:10:04 AM 4,185 PSEXESVC.EXE \VOLUME{01d951602330db46-52233816}\WINDOWS\PSEXESVC.EXE 9 9/7/2023 12:10:03 PM, 9/7/2023 12:09:09 PM, 9/7/2023 12:08:54 PM, 9/7/2023 12:08:23 PM, 9/7/2023 12:06:54 PM, 9/7/2023 11:57:53 AM, 9/7/2023 11:57:43 AM, 9/7/2023 11:55:44 AM No
こんな感じで記録に残っている。
9/7/2023 12:10:03 PM 9/7/2023 12:09:09 PM 9/7/2023 12:08:54 PM 9/7/2023 12:08:23 PM 9/7/2023 12:06:54 PM 5番目のこれが正解 9/7/2023 11:57:53 AM 9/7/2023 11:57:43 AM 9/7/2023 11:55:44 AM
Task 4
Can you confirm the hostname of the workstation from which attacker moved laterally?
攻撃者が横方向に移動したワークステーションのホスト名を確認できますか?
Hayabusaを使ってイベントログを検索してみる。
C:\Users\WDAGUtilityAccount\Downloads\hayabusa-2.10.1-win-64-bit>hayabusa-2.10.1-win-x64.exe search -d C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs -k PsExec
死ぬほど便利で、一発で怪しいのが出てくる。
2023-09-07 20:59:11.650 +09:00 ‖ Forela-Wkstn002.forela.local ‖ Sysmon ‖ 1 ‖ 158418 ‖ Process Creation ‖ CommandLine: "C:\Users\Administrator\Downloads\PSTools\PsExec64.exe" \\Forela-Wkstn001 -u Administrator -i whoami ¦ Company: Sysinternals - www.sysinternals.com ¦ CurrentDirectory: C:\Users\Administrator\Downloads\PSTools\ ¦ Description: Execute processes remotely ¦ FileVersion: 2.43 ¦ Hashes: SHA1=0098C79E1404B4399BF0E686D88DBF052269A302,MD5=DB89EC570E6281934A5C5FCF7F4C8967,SHA256=EDFAE1A69522F87B12C6DAC3225D930E4848832E3C551EE1E7D31736BF4525EF,IMPHASH=8A589B59271D320348F6CDEC90A97E6C ¦ Image: C:\Users\Administrator\Downloads\PSTools\PsExec64.exe ¦ IntegrityLevel: High ¦ LogonGuid: B02EC91E-B9F5-64F9-189A-290000000000 ¦ LogonId: 0x299a18 ¦ OriginalFileName: psexec.c ¦ ParentCommandLine: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" ¦ ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ ParentProcessGuid: B02EC91E-BAF8-64F9-C101-000000003000 ¦ ParentProcessId: 10792 ¦ ParentUser: FORELA\Administrator ¦ ProcessGuid: B02EC91E-BB0F-64F9-CA01-000000003000 ¦ ProcessId: 3344 ¦ Product: Sysinternals PsExec ¦ RuleName: technique_id=T1059.001,technique_name=PowerShell ¦ TerminalSessionId: 2 ¦ User: FORELA\Administrator ¦ UtcTime: 2023-09-07 11:59:11.645 ‖ C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs\Microsoft-Windows-Sysmon%4Operational.evtx
Forela-Wkstn001
が答え。
Task 5
What is full name of the Key File dropped by 5th last instance of the Psexec?
Psexec の最後の 5 番目のインスタンスによってドロップされたキー ファイルのフル ネームは何ですか?
Prefetchで見てみるといくつか.key
ファイルが見て取れる。
C:\Users\WDAGUtilityAccount\Downloads\hayabusa-2.10.1-win-64-bit>hayabusa-2.10.1-win-x64.exe search -d C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs -k ".key"
みたいにHayabusaで.key
で検索するとSysmonのログが入っているので、色々出てきた。
2023-09-07 21:06:55.064 +09:00 ‖ Forela-Wkstn002.forela.local ‖ Sysmon ‖ 11 ‖ 159599 ‖ File Creation or Overwrite ‖ CreationUtcTime: 2023-09-07 12:06:55.054 ¦ Image: System ¦ ProcessGuid: B02EC91E-B89C-64F9-EB03-000000000000 ¦ ProcessId: 4 ¦ RuleName: technique_id=T1574.010,technique_name=Services File Permissions Weakness ¦ TargetFilename: C:\Windows\PSEXEC-FORELA-WKSTN001-95F03CFE.key ¦ User: NT AUTHORITY\SYSTEM ¦ UtcTime: 2023-09-07 12:06:55.054 ‖ C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs\Microsoft-Windows-Sysmon%4Operational.evtx
時系列で5番目のものを持ってくると正答だった。PSEXEC-FORELA-WKSTN001-95F03CFE.key
Task 6
Can you confirm the timestamp when this key file was created on disk?
このキー ファイルがディスク上に作成されたときのタイムスタンプを確認できますか?
Task 5のログを使えばいい。
Task 7
What is the full name of the Named Pipe ending with the "stderr" keyword for the 5th last instance of the PsExec?
PsExec の最後の 5 番目のインスタンスの「stderr」キーワードで終わる名前付きパイプの完全な名前は何ですか?
C:\Users\WDAGUtilityAccount\Downloads\hayabusa-2.10.1-win-64-bit>hayabusa-2.10.1-win-x64.exe search -d C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs -k "stderr"
stderrで検索してみると名前付きパイプの情報が出てきた。時系列で新しいものから5番目のやつを持ってくれば正答。
2023-09-07 21:06:55.084 +09:00 ‖ Forela-Wkstn002.forela.local ‖ Sysmon ‖ 17 ‖ 159603 ‖ Named Pipe Created ‖ EventType: CreatePipe ¦ Image: C:\WINDOWS\PSEXESVC.exe ¦ PipeName: \PSEXESVC-FORELA-WKSTN001-3056-stderr ¦ ProcessGuid: B02EC91E-BCDE-64F9-0C02-000000003000 ¦ ProcessId: 6836 ¦ RuleName: - ¦ User: NT AUTHORITY\SYSTEM ¦ UtcTime: 2023-09-07 12:06:55.069 ‖ C:\Users\WDAGUtilityAccount\Downloads\tracer.zip\Tracer\C\Windows\System32\winevt\logs\Microsoft-Windows-Sysmon%4Operational.evtx
\PSEXESVC-FORELA-WKSTN001-3056-stderr
が答え。