Welcome to Advent of Cyber 2021

クリスマスまでの25日間、毎日基本的な知識を学び、初心者向けの新しいセキュリティ演習を行うことで、サイバーセキュリティを始めることができます。

day8

windowsに関する問題です。

RDPで接続します。

┌──(kali㉿kali)-[~]
└─$ xfreerdp /u:Administrator  /p:grinch123! /w:1366 /h:768 +fonts +clipboard /v:10.10.71.252

SantasLaptopLogsのOS名を確認します。

C:\Users\Administrator\Desktop\SantasLaptopLogs

次にPowerShell_transcript.LAPTOP.k_dg27us.20211128153538を開きログをみると、s4ntaユーザーが追加されてました。

次に、PowerShell_transcript.LAPTOP.Zw6PA+c4.20211128153734を開きログをみると、copyコマンドでUsrClass.datがデスクトップにコピーされてます。

このログによると、ファイルをエンコードしていることが確認できます。

-----BEGIN CERTIFICATE-----とから-----END CERTIFICATE-----までに囲われた部分をbase64でデコードします。
デコードする際は、CyberChefを使用します。

このdownload.datからShellbagsの探索を開始します。

SantaRatという怪しいフォルダを見つけました。このdatファイルの詳細を確認することができませんが、.githubと記載されているので外部公開しているかもしれません。

さらに、デスクトップには「BagofToys」という名前のユニークなフォルダがあります。

Githubにアクセスして、「SantaRat」を検索します。
https://github.com/Grinchiest/SantaRat

その他にもいくつかリポジトリがありました。

PowerShell_transcript.LAPTOP.b+XfnW7t.20211128154858を開きログをみると、実行ファイルをインストールしています。

PowerShell_transcript.LAPTOP.myCoN9lB.20211128155453によると、それぞれにGRINCHMASが入ってます。

Commitから元のbag_of_toys.uhaアーカイブのパスワードを予測します。

githubに表示されていたパスワードを入力してみます。

合計で228のファイルがありました。

Answer

What operating system is Santa's laptop running ("OS Name")?
Microsoft Windows 11 Pro
What was the password set for the new "backdoor" account?
grinchstolechristmas
In one of the transcription logs, the bad actor interacts with the target under the new backdoor user account, and copies a unique file to the Desktop. Before it is copied to the Desktop, what is the full path of the original file?
C:\Users\santa\AppData\Local\Microsoft\Windows\UsrClass.dat
The actor uses a Living Off The Land binary (LOLbin) to encode this file, and then verifies it succeeded by viewing the output file. What is the name of this LOLbin?
certutil.exe
Drill down into the folders and see if you can find anything that might indicate how we could better track down what this SantaRat really is. What specific folder name clues us in that this might be publicly accessible software hosted on a code-sharing platform?
.github
Additionally, there is a unique folder named "Bag of Toys" on the Desktop! This must be where Santa prepares his collection of toys, and this is certainly sensitive data that the actor could have compromised. What is the name of the file found in this folder?
bag_of_toys.zip
What is the name of the user that owns the SantaRat repository?
Grinchiest
Explore the other repositories that this user owns. What is the name of the repository that seems especially pertinent to our investigation?
operation-bag-of-toys
Read the information presented in this repository. It seems as if the actor has, in fact, compromised and tampered with Santa's bag of toys! You can review the activity in the transcription logs. It looks as if the actor installed a special utility to collect and eventually exfiltrate the bag of toys. What is the name of the executable that installed a unique utility the actor used to collect the bag of toys?
uharc-cmd-install.exe
Following this, the actor looks to have removed everything from the bag of toys, and added in new things like coal, mold, worms, and more! What are the contents of these "malicious" files (coal, mold, and all the others)?
GRINCHMAS
What is the password to the original bag_of_toys.uha archive? (You do not need to perform any password-cracking or bruteforce attempts)
TheGrinchiestGrinchmasOfAll
How many original files were present in Santa's Bag of Toys?
228