Blue team lab: Investigação DeepBlue CLI
Blue team lab: Investigação DeepBlue CLI
Olá a todos!
Nesta postagem irei explicar como resolvi o laboratório do BTL, um ótimo laboratório para quem estar começando na segurança da informação e principalmente, como analista SOC!
O laboratório consiste em validar uma suspeita de ataque causado por injeção DLL nos eventos de log do Windows usando uma ferramenta open source chamada DeepBlueCLI. Vamos por partes!
0) Entendendo o Lab
esse lab tem como propósito ensinar 2 coisas essencias
- Conceito de injeção DLL
- O que é DeepBlueCLI
Injeção DLL é um tipo de ataque onde permite o atacante rodar qualquer código na memória de outro processo, ele faz isso forcando o processo alvo carregar um arquivo DLL do atacante.
DeepBlueCLI é um modulo do powershell para encontrar ameaças no log de evento do Windows, ele faz isso detectando eventos na qual é considerado suspeito, facilita muito a visualização de logs realmente importantes, visto que o log de evento do windows possui vários logs
1) Using DeepBlueCLI, investigate the recovered Security log (Security.evtx). Which user account ran GoogleUpdate.exe?
O desafio nos fornece uma pasta com os logs e a ferramenta que iremos utilizar
.\DeepBlue.ps1 C:\Users\BTLOTest\Desktop\Investigation\Security.evtx
Agora, na questão ele pede o usuário que iniciou o processo infectado, vendo esse output conseguimos encontrar facilmente que foi Mike Smith
2) Using DeepBlueCLI investigate the recovered Security.evtx log. At what time is there likely evidence of Meterpreter activity?
Nessa questão ele pede para encontrar atividade do Meterpreter, mas o que é Meterpreter?Dando uma rápida googlada, o Meterpreter é uma ferramenta que auxilia no pós invasão, ou seja, caso apareca um processo do Meterpreter nos logs, o atacante já executou o seu malware e agora está em busca de melhorar seus privilégios ou obter mais informações
Analisando mais o output do DeepBlue, conseguimos encontrar que o a data e hora da atividade do Meterpreter foi em 4/10/2021 10:48:14 AM
3) Using DeepBlueCLI investigate the recovered System.evtx log. What is the name of the suspicious service created?
Agora ele pede para analisarmos os logs do sistema, onde possui informações dos processos do Windows
Nele conseguimos ver um serviço suspeito chamado de rztbzn, curiosamente o mesmo serviço que aparece na linha de comando da questão 2.
4) Investigate the Security.evtx log in Event Viewer. Process creation is being audited (event ID 4688). Identify the malicious executable downloaded that was used to gain a Meterpreter reverse shell, between 10:30 and 10:50 AM on the 10th of April 2021.
Nesse caso o DeepBlueCLI não nos mostrou nada de relevante que pudesse mostrar o executável malicioso, mas sabemos que é entre 10:30 e 10:50 não só porque a questão falou, mas também porque sabemos pelas questões 3 e 2 que o Meterpreter já foi executado, as 10:48:14 do dia 10. Analisando os logs, logo o executável deve ter aparecido um pouco antes das 10:48:14, pelo mesmo usuário que começou todo esse ataque (Mike Smith).
Analisando os logs encontramos um servido por volta desse horário, serviceupdate.exe pelo usuário Mike Smith
5) It's also believed that an additional account was created to ensure persistence between 11:25 AM and 11:40 AM on the 10th April 2021. What was the command line used to create this account? (Make sure you've found the right account!)
Analisando os logs nesse horário, encontramos o comando net user ServiceAct /add, um comando padrão para adicionar usuários no windows
6) What two local groups was this new account added to?
E é isso! Muito obrigado por acompanhar aqui!
Grande Abraço!
Luan Weba Soares
Luan Weba Soares
Comentários
Postar um comentário