Blue Team Lab: Desafio Phishing Analysis 2

 Olá a todos! mas uma postagem de um desafio feito na plataforma Blue Team Labs, dessa vez vamos analizar um Phishing! Decidi documentar o Phishing Analysis 2, visto que foi um pouco mais informativo que o Phising Analysis 1 e segue o mesmo raciocínio, então vamos lá!




0) Entendendo o Lab

O lab se trata em analizar esse email e decidir quais são as características padrões de um phishing, bem tranquilo de se fazer visto que precisamos de poucas ferramentas e a maioria das respostas já está no primeiro print!
As ferramentas como sempre estão nas tags do lab, uma delas está escrito "Thunderbird". Esse é um aplicativo para ler emails, como a extensão do arquivo que baixamos do lab está em .eml esse aplicativo é uma boa opção para abrir emails, porém qualquer app de emails serve também.

Para instalar o Thunderbird no linux digite como root no terminal o seguinte comando:
sudo apt install thunderbird

 E pronto! Agora abra o arquivo .eml do lab com o thunderbird e vamos para as questões


1) What is the sending email address?

Quem enviou esse email foi um individuo bem suspeito com nome de "Amazn", o email é "amazon@zyevantoby.cn" Definitivamente um email oficial da amazon, não tenho duvidas!

2) What is the recipient email address?

Quem recebeu, como no primeiro print informa foi o saintington73 com email saintington73@outlook.com

3) What is the subject line of the email?

Novamente, primeiro print já informa. Your Account has been locked

4) What company is the attacker trying to imitate?

Obviamente as casas Bahia! Brincadeira hehehe, tudo indica ser a Amazon

5) What is the date and time the email was sent? (As copied from a text editor)

Nessa questão vamos ter que abrir o arquivo .eml em um editor de texto, digite o seguinte comando no diretório onde está o arquivo:
cat Your_Account_has_been_locked.eml | grep Date

 O output irá trazer a data no formato que a questão pede, que é Wed, 14 Jul 2021 01:40:32 +0900

6) What is the URL of the main call-to-action button?

Vá no email aberto pelo app de email e copie a localização do link no botão de revisar a conta

Resposta: https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Famaozn.zzyuchengzhika.cn%2F%3Fmailtoken%3Dsaintington73%40outlook.com&data=04%7C01%7C%7C70072381ba6e49d1d12d08d94632811e%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637618004988892053%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=oPvTW08ASiViZTLfMECsvwDvguT6ODYKPQZNK3203m0%3D&reserved=0

Uma url extremamente longa, característica de sites maliciosos

7) Look at the URL using URL2PNG. What is the first sentence (heading) displayed on this site? (regardless of whether you think the site is malicious or not)

URL2PNG é um site que tira screenshots do link em que vc solicita para ele, é uma maneira de ter uma noção do que o site se trata sem acidentalmente infectar seu computador no processo
Colocando a URL no site encontramos a seguinte página


Provavelmente ele já foi tirado do ar tendo em vista que esse lab é antigo, no caso a resposta é a primeira sentença legível desse site que é The page that you are trying to access cannot be loaded

8) When looking at the main body content in a text editor, what encoding scheme is being used?

Analisando o arquivo em um editor de texto, é possível ver que foi usado base64 para codificar a mensagem



9) What is the URL used to retrieve the company's logo in the email?

No email podemos ver que existe uma imagem que não foi inteiramente carregada, nesse caso não estava conseguindo copiar esse link, então o que fiz foi o seguinte:
  1. abri o google imagens
  2. Arrastei a imagem do email para o google imagens
Com isso deu para pegar o URL, que é: https://images.squarespace-cdn.com/content/52e2b6d3e4b06446e8bf13ed/1500584238342-OX2L298XVSKF8AO6I3SV/amazon-logo?format=750w&content-type=image%2Fpng


10) For some unknown reason one of the URLs contains a Facebook profile URL. What is the username (not necessarily the display name) of this account, based on the URL?

Eu ri com essa hahaha, antes de chegar nessa questão eu vi essa URL contendo o facebook e fiquei tão confuso quanto, aparentemente o time de SOC que preparou esse lab encontra as informações mais aleatórias no dia a dia hehehe 
Copie o link anexado na frase "Amazon Support Team" em um editor de texto e analise a URL, nela temos um pedaço que faz nos entender que é de um usuário do facebook, esse é a resposta dessa questão 

URL: https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.facebook.com%2Famir.boyka.7&data=04%7C01%7C%7C70072381ba6e49d1d12d08d94632811e%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637618004988892053%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=KVi%2BG1%2BFO3v3ALNVowA1PrenHiT3aT%2FIvb5y1KxkAkc%3D&reserved=0

E é isso! um lab bem tranquilo para mostrar um pouco o que um time de SOC analisa em um email phishing, e o que pode ser analizado por você também para detectar algum email mal intencionado em seu inbox! Até mais, e continuem seguros

Grande Abraço!
Luan Weba Soares


Comentários

Postar um comentário

Postagens mais visitadas deste blog

Blue team lab: Investigação DeepBlue CLI

Imagem
  Blue team lab: Investigação DeepBlue CLI Olá a todos! Nesta postagem irei explicar como resolvi o laboratório do BTL, um ótimo laboratório para quem estar começando na segurança da informação e principalmente, como analista SOC! O laboratório consiste em validar uma suspeita de ataque causado por injeção DLL nos eventos de log do Windows usando uma ferramenta open source chamada DeepBlueCLI. Vamos por partes! 0) Entendendo o Lab esse lab tem como propósito ensinar 2 coisas essencias Conceito de injeção DLL O que é DeepBlueCLI Injeção DLL é um tipo de ataque onde permite o atacante rodar qualquer código na memória de outro processo, ele faz isso forcando o processo alvo carregar um arquivo DLL do atacante. DeepBlueCLI é um modulo do powershell para encontrar ameaças no log de evento do Windows, ele faz isso detectando eventos na qual é considerado suspeito, facilita muito a visualização de logs realmente importantes, visto que o log de evento do windows possui vários logs Fonte:...
Leia mais