Cyberdefenders - KrakenKeylogger Lab

1. Case Overview:

An employee at a large company was assigned a task with a two-day deadline. Realizing that he could not complete the task in that timeframe, he sought help from someone else. After one day, he received a notification from that person who informed him that he had managed to finish the assignment and sent it to the employee as a test. However, the person also sent a message to the employee stating that if he wanted the completed assignment, he would have to pay $160.

The helper's demand for payment revealed that he was a threat actor. The company's digital forensics team was called in to investigate and identify the attacker, determine the extent of the attack, and assess potential data breaches. The team must analyze the employee's computer and communication logs to prevent similar attacks in the future.

---

Q1.
What is the the web messaging app the employee used to talk to the attacker?

간단한 아티팩트들만을 봤을 땐 흔적을 찾을 수 없었다.

하지만 Windows Notification Center 를 확인하면 찾을 수 있고,

• 윈도우 10 스토어를 통해 다운받은 SNS 앱의 메시지나 컴퓨터의 실행 메시지 정보 획득가능
• MSOffice, Slack 등 사용자가 지정한 어플리케이션의 이벤트 분석 가능
• 일정, 약속 등과 같은 이벤트 분석 가능

경로: C:\Users\UserName\AppData\Local\Microsoft\Windows\Notifications\wpndatabase.db

SQLite를 통해 확인해보면 아래와 같이 답을 알 수 있다.

---

 

Q2.
What is the password for the protected ZIP file sent by the attacker to the employee?

해당 문제는 Q1에 정답 안에는 메시지가 담겨져 있다.

확인해보면 아래와 같이 답을 알 수 있다.

---

Q3.
What domain did the attacker use to download the second stage of the malware?

푸는 방법에 대해 이해가 안가 hint 1을 보고 고민을 했다.

Examine the shortcut (.lnk) files, which could be linked to malicious activities. Focus on a file named 
templet.lnk
 in 
C:\Users\Forensicator\Desktop\119-KrakenKeyLogger\challenge\Users\OMEN\Downloads\project templet test
 for further analysis.

이후 해당 경로에 가 project templet test.zip의 압축을 풀고 LECmd를 통해 lnk를 확인하려 했지만 액세스 접근이 막혔다.

오랜시간 애를 먹다가 답을 보니 방화벽을 풀고 해야하는 했다. 하지만 난 굳이 방화벽을 풀어야 하나 생각이 들어 이후 문제 풀이를 설명하면 LECmd를 통해 확인하면 난독화된 파워쉘 명령어가 나오고 해당 난독화를 풀어주면 답을 알 수 있는 문제였다.

---

Q4.
What is the name of the command that the attacker injected using one of the installed LOLAPPS on the machine to achieve persistence?

해당 문제를 풀기 위해선 LOLAPPS의 개념을 조금 알아야 한다.

LOLAPPS는 일반적으로 "Living Off the Land Applications"의 약자로,
운영체제에 기본적으로 존재하는 정상적인 프로그램을 악용하는 것을 말한다.

그렇기에 정상적인 프로그램을 찾아야하기 위해 일단 좀 구체적으로 훓어봤다.

그러던 중 Greenshot 폴더를 확인 할 수 있었고 안에는 Greenshot.ini가 있었다. 해당 파일은 스크린샷 캡처 도구인 Greenshot의 설정 파일로 정상적이긴 하지만 필자는 사용하지 않아 의심스러워 strings를 돌려 보았다.

결과로 Greenshot 외부 명령으로 cmd.exe를 실행 /c 옵션으로 templet.lnk를 실행한 흔적을 확인했다.

templet.lnk는 이전 질문에서 악성 파일임을 알았기에 해당 문제의 답은 jlhgfjhdflghjhuhuh임을 알 수 있었다.

 

---

Q5.
What is the complete path of the malicious file that the attacker used to achieve persistence?

Q4를 보면 답을 알 수 있다.

---

Q6.
What is the name of the application the attacker utilized for data exfiltration?

해당 문제는 hint1을 봤는데

hint1: Review the MITRE ATT&CK T1219 technique to understand the use of legitimate remote access software by attackers as a method for command and control or data exfiltration.

remote라는 단어만 보고 답을 알았다. 지금까지 문제를 풀면서 anydesk 폴더를 계속 확인 할 수 있었는데 anydesk란 원격 접속을 위한 프로그램으로 필자도 가끔 사용해 이미 알고 있었다.

---

Q7.
What is the IP address of the attacker?

공격자 IP 이것은 원격 프로그램으로 인한 공격자의 접근이기에 anydesk 아티팩트를 찾아야 했다.

무조건 원격 접속 기록을 남길 것이라 확신했기에 찾아보았고 여러 아티팩트가 있었지만 여기서 문제에서 볼 수 있는 아티팩트는 ad.trace 밖에 없었다. 해당 아티팩트는 연결, 에러, 시스템 등에 대한 이벤트를 남기는 아티팩트고 timeline explorer를 통해 확인 한 결과 아래와 같이 공격자 IP를 알 수 있었다.