침해사고대응 디지털포렌식 연습 방법

저는 이 블로그에서 자주 hackthebox나 tryhackme 같은 해킹 실습 모의침투를 올리는데 오늘은 BlueTeam 실습 홈페이지를 소개해 드리고 싶습니다.

https://blueteamlabs.online/

Blue Team Labs Online

Blueteamlabs도 hackthebox와 tryhackme하고 매우 비슷합니다. 침해사고대응, 디지털 포렌식, 악성코드 분석, 리버스 엔지니어링 등 다양한 문제들과 랩들을 풀 수 있습니다.

랩들은 investigation이라고 불리며 현재 88개가 있고 난이도도 다양합니다. 챌린지도 41개나 있습니다. 공짜 랩도 있으나 모든 랩들을 도전하려면 월 구독 2만 3천 원 내야 합니다 (15파운드). 

 

오늘은 "Total Recall"이라는 침해사고대응 랩을 풀어보고, Redline이라는 매주 유용한 툴을 사용해 보겠습니다. Redline 궁금하신 분들은 --> https://www.fireeye.com/services/freeware/redline.html

Redline | Free Security Software | FireEye

오늘 풀어볼 랩은 다음과 같이 생겼습니다. 오른 쪽에는 답해야 질문 여러 개! 바로 시작해 보겠습니다~

1번 질문: The user tried to download an .exe file to the system but cancelled it. What was the filename?

Redline의 "File Download History"를 눌러 보면 다양한 웹주소들이 나오지만, 수상한 것은 아이피는 10.201.1.105입니다. https가 아닌 http이고, 도메인 이름이 없기 때문입니다. 아울러 맨 오른쪽 몇 바이트를 다운로드했는지 확인할 수 있으나 0바이트인 것은 OpenVPN(1).exe입니다.

유저는 수상한 아이피 주소에 연결하여 악성코드를 다운로드했나 봐요.

2번 질문: What is the IP and port used to download other files to the system?

위 사진에 아이피 주소하고 포트도 확인할 수 있습니다.

 

3번과 4번 질문: Can you find two scheduled tasks created by the malicious insider?

해커들은 지속성을 확보하기 위해 자주 타스크 스케줄링을 사용하는데 Redline의 "Tasks"에서 확인할 수 있습니다.

hacker라는 유저가 DailyTask 하고 OnIdleTask이라는 Task를 만들었습니다.

5번 질문: The task will grab the file from the attacker’s machine. What file is scheduled to run on the tasks? Include the full path to the file within the URL

태스크들은 어떤 짓을 하는지 확인해보면 powershell로 위의 아이피 주소에 연결하여 catchmeifyoucan.exe이라는 파일을 다운로드합니다.

6번 질문: What user accounts were created by the insider?

"Users"를 확인해 보면 새로 생성된 유저들도 보입니다.

7번 질문: What service was enabled by the attacker between 7-8 PM on 03/03/2021 which involves the netsh command and exception on the firewall?

Redline로 Windows Event Log 확인도 가능합니다. 아울러 Redline은 필터링이 잘 되어 있어서 string 검색과 "timestamp" 필터링도 가능합니다. 해커는 Remote Desktop를 켰나 봅니다.

8번 질문: An attempt was made to reset a newly-created user's password some time after 9 PM on 03/03/2021. Find the Execution PID and Execution Thread ID

7번 질문과 똑같이 Event Log를 확인할 것이며 "password"이라는 스트링으로 필터링해보면...! 답이 나옵니다.

Event ID 4724라고 뜨는데 "password reset"를 말하는 것입니다.

9번 질문: The insider has likely utilized ATT&CK ID T1547.001 to obtain persistence. Find the malicious registry entry and submit the Registry Key Value and modified date

Redline으로 Registry 검토도 가능합니다. Userinit.exe하고 evil.exe이라는 실행파일이 보입니다.

10번 질문: Another common persistence method is using Windows Services. Identify any suspicious running services?

Registry하고 Scheduled Task 말고도 서비스로도 지속성을 확보할 수 있습니다. 서비스들을 확인해보니 meterpreter가 보이네요!

 

 

해킹 말고 블루팀 실력을 키우고 싶은 분들에게 BlueTeamLabs 강추!