BlueSky Ransomware Blue Team Lab

해당 문제는 CyberDefenders의 BlueSky Ransomware문제에 대한 풀이입니다.

---

1. Challenge description

As a cybersecurity analyst on SecureTech's Incident Response Team, you're tackling an urgent case involving a high-profile corporation that suspects a sophisticated cyber attack on its network.

The corporation, which manages critical data across various industries, has experienced a ransomware attack, leading to the encryption of files and an immediate need for expert assistance to mitigate the damages and investigate the breach.

Your role in the team is to conduct a detailed analysis of the evidence to determine the extent and nature of the

attack. Your objective is to identify the tactics, techniques, and procedures (TTPs) used by the threat actor to help your client contain the threat and restore the integrity of their network.

---

Q1.
Knowing the source IP of the attack allows security teams to respond to potential threats quickly. Can you identify the source IP responsible for potential port scanning activity?

wireshark - statistics - conversations - IPv4 으로 확인할 수 있다.

Q2.
During the investigation, it's essential to determine the account targeted by the attacker. Can you identify the targeted account username?

해당 질문에는 Network miner에서 credentials에서 확인할 수 있었다.

Q3.
We need to determine if the attacker succeeded in gaining access. Can you provide the correct password discovered by the attacker?

이 질문도 Q3과 에서와 같이 password를 알 수 있다.

Q4.
Attackers often change some settings to facilitate lateral movement within a network. What setting did the attacker enable to control the target host further and execute further commands?

이 질문에는 network miner와 wireshark를 같이 썼다. network miner로 parameter 부분을 통해 reconfigure라는 의심스러운 parameter를 찾았고 해당 parameter number를 통해 wireshark로 검색을 하였을 때 sql batch를 알 수 있었다. 

해당 패킷을 열어보니 어떤 설정을 바꾸려는지 확인 할 수 있었다.

 

Q5.
Process injection is often used by attackers to escalate privileges within a system. What process did the attacker inject the C2 into to gain administrative privileges?

이 질문에 고민을 하고 문제에서 준 이벤트 로그들을 확인했다.

그렇게 구글링을 하던 중 공격자는 시스템 침입 후 내부확산을 위해 powershell을 많이 사용한다는 글을 보았다.

문제에서 준 이벤트 로그들에는 powershell이 많았고 hostname에 msf console로 모의해킹시 사용되는 도구가 확인되었다.

그러면서 아래 HostApplication에 winlogin.exe라는 프로세스가 있었다.

Q6.
Following privilege escalation, the attacker attempted to download a file. Can you identify the URL of this file downloaded?

다운로드의 기록을 확인하기 위해 wireshark에서 공격자의 ip와 GET 방식 통신을 필터링해주었다.

그 중 권한을 상승시키고 다운로드 한 것잉기 때문에 가장 처음 검색된 것으로 답을 넣었다.

Q7.
Understanding which group Security Identifier (SID) the malicious script checks to verify the current user's privileges can provide insights into the attacker's intentions. Can you provide the specific Group SID that is being checked?

악성 스크립트를 확인해야 했기에 위 문제인 checking.ps1의 코드를 확인했더니 하나의 SID 식별자가 있었다.

Q8.
Windows Defender plays a critical role in defending against cyber threats. If an attacker disables it, the system becomes more vulnerable to further attacks. What are the registry keys used by the attacker to disable Windows Defender functionalities? Provide them in the same order found.

공격자가 Windows Defender 기능을 비활성화하기 위해 사용하는 레지스트리 키는 다음과 같습니다:
DisableAntiSpyware
DisableRoutinelyTakingAction
DisableRealtimeMonitoring
SubmitSamplesConsent
SpynetReporting

 

그리고 아까 악성 스크립트를 계속 보다보면 Windows Defender 기능을 비활성화하는 코드를 볼 수 있었다.

Q9.
Can you determine the URL of the second file downloaded by the attacker?

이 질문에는 Q6을 활용해서 풀 수 있었다.

Q10.
Identifying malicious tasks and understanding how they were used for persistence helps in fortifying defenses against future attacks. What's the full name of the task created by the attacker to maintain persistence?

일단 이 문제에 답은 \Microsoft\Windows\MUI\LPupdate이다. 이것은 Windows 작업 스케줄러에서 사용하는 작업의 경로와 이름을 의미한다.

 작업 이름은 공격자가 합법적인 시스템 작업처럼 보이도록 위장하기 위해 사용한 것이다. 실제로는 악성 스크립트를 실행하도록 설정되어 있다. 공격자는 이렇게 작업을 설정함으로써 시스템이 재부팅되거나 일정한 시간이 경과한 후에도 악성 스크립트가 실행되도록 지속성을 유지하게 한다.

 

LPupdate를 악성스크립트에 검색하면 아래와 같이 나온다.

Q11.
According to your analysis of the second malicious file, what is the MITRE ID of the tactic the file aims to achieve?

이 문제는 chat gpt를 이용해 풀었다.

해당 두번째 악성스크립트는 특정 WMI 이벤트 소비자 바인딩을 제거하고 모니터링 또는 프로세스 관리 도구와 연관될 수 있는 프로세스를 중지하기 위한 정리 또는 보안 조치인 것으로 보인다. 따라서 ID TA0005를 갖는 방어 회피 전술로 간주할 수 있다.

Q12.
What's the invoked PowerShell script used by the attacker for dumping credentials?

이 문제는 공격자 ip와 GET 방식 통신으로 필터링을 해주고 확인하면 PowerShell 로 자격증명을 덤핑해보이는 패킷을 하나 발견할 수 있었다.

Q13.
Understanding which credentials have been compromised is essential for assessing the extent of the data breach. What's the name of the saved text file containing the dumped credentials?

악성 스크립트 파일의 내용들 중 txt 파일이 있는지를 찾아보았다.

Q14.
Knowing the hosts targeted during the attacker's reconnaissance phase, the security team can prioritize their remediation efforts on these specific hosts. What's the name of the text file containing the discovered hosts?

이 질문을 보고 악성 스크립트에서도 보이고 network miner에서도 보였던 txt 파일이 생각났다.

하지만 이해가 안되어서 chat gpt에게 스크립트의 의미를 물어보고 이해했다.

Q15.
After hash dumping, the attacker attempted to deploy ransomware on the compromised host, spreading it to the rest of the network through previous lateral movement activities using SMB. You’re provided with the ransomware sample for further analysis. By performing behavioral analysis, what’s the name of the ransom note file?

문제에서 주어진 바이러스 샘플을 virus total에 넣으면 해결 가능하다.

 

Q16
In some cases, decryption tools are available for specific ransomware families. Identifying the family name can lead to a potential decryption solution. What's the name of this ransomware family?

Q15와 연계된 것으로 virus total에서 찾을 수 있다.