Insider Lab - CyberDefenders

elc4br4elc4br4
5 min read

Table of contents

https://cyberdefenders.org/blueteam-ctf-challenges/insider/

Para resolver este laboratorio utilizaré las herramientas FTK-Imager y Autopsy.

Escenario

👧
After Karen started working for 'TAAUSAI,' she began doing illegal activities inside the company. 'TAAUSAI' hired you as a soc analyst to kick off an investigation on this case. You acquired a disk image and found that Karen uses Linux OS on her machine. Analyze the disk image of Karen's computer and answer the provided questions.

Descargamos y descomprimimos los archivos generados en la web de cyberdefenders, donde veremos dos archivos con extensión .ad1 y .ad1.txt.

🤔
La extensión AccessData Custom Content Image (.AD1) sirve para almacenar copias bit a bit de dispositivos de almacenamiento. Este formato está ligado al uso de una herramienta en particular, Forensic Toolkit, desarrollada por AccessData para el escaneo de unidades de disco duro.

En mi caso realizaré el análisis utilizando la herramienta Autopsy, pero esta no admite por defecto el formato .ad1 (aunque si no estoy equivocado existen algunas extensiones que se pueden añadir a Autopsy para que admita este formato).

Por lo tanto, utilizaré la herramienta FTK-Imager para montar la imagen en mi sistema y posteriormente a través de Autopsy analizarla como una imagen lógica.

  1. Abrimos FTK-Imager para montar la imagen .ad1.

Veremos que se monta la imagen como un dispositivo de almacenamiento en nuestro equipo y dentro tendremos un directorio raíz con todo el contenido de la imagen (parte del sistema de archivos del endpoint a analizar).

  1. Una vez montada abrimos Autopsy “COMO ADMINISTRADOR”, creamos el caso y seleccionamos el directorio raíz de la imagen montada.

Question 1

Q1: Which Linux distribution is being used on this machine?

A simple vista podremos darnos cuenta que estamos analizando una imagen de un endpoint Linux, por lo que podemos buscar el archivo lsb-release donde podríamos encontrar información al respecto sobre el sistema operativo que corre en dicho endpoint.

Autopsy dispone de un buscador a través del cual realizamos la búsqueda de este archivo lsb-release.

Ubicado en la ruta /root/var/log/installer/

Question 2

Q2: What is the MD5 hash of the Apache access.log file?

Debemos encontrar el hash md5 del archivo access.log de apache.

De nuevo podríamos hacer uso del buscador y filtrar por el archivo access.log.

Ubicado en la ruta /root/var/log/apache2

Question 3

Q3: It is suspected that a credential dumping tool was downloaded. What is the name of the downloaded file?

Se ha descargado en el endpoint una herramienta de volcado de credenciales y debemos identificarla y hallar en qué ruta se almacena.

Lo primero que se nos viene a la mente cuando hablamos de una herramienta de volcado de credenciales es mimikatz.

Nos dirigimos al directorio descargas y verificamos cuál es la herramienta y su nombre.

Ubicada en la ruta /root/root/Downloads

Question 4

Q4: A super-secret file was created. What is the absolute path to this file?

Se ha creado un archivo super-secreto y debemos averiguar la ruta absoluta del mismo.

Para ello podríamos revisar el archivo bash_history donde se almacena el historial de los comandos ejecutados en el sistema.

Ubicado en la ruta /root/root

Se ha creado el archivo SuperSecretFile.txt en la ruta /root/Desktop/SuperSecretFile.txt.

Question 5

Q5: What program used the file didyouthinkwedmakeiteasy.jpg during its execution?

De nuevo volvemos a revisar el archivo bash_history y encontramos lo siguiente:

Question 6

Q6: What is the third goal from the checklist Karen created?

Karen creó un archivo con los objetivos a cumplir, por lo que nuestra misión es encontrar dicho archivo.

De nuevo hacemos uso del buscador de Autopsy y filtramos por checklist (suponiendo que el archivo se llame de esta manera).

Archivo ubicado en la ruta root/root/Desktop/Checklist

Question 7

Q7: How many times was Apache run?

Para averiguar el número de veces que se ha ejecutado el servicio de apache simplemente debemos revisar sus logs correspondientes.

Podemos ver que los logs de apache2 están vacíos, por ello su tamaño es de 0.

Por lo tanto podemos concluir que no se ha ejecutado ninguna vez el servicio de apache2.

Question 8

Q8: This machine was used to launch an attack on another. Which file contains the evidence for this?

El endpoint que estamos analizando se ha utilizado para realizar ataques a otra máquina, y debemos encontrar la evidencia que lo demuestra, la cual se encuentra en este endpoint.

Question 9

Q9: It is believed that Karen was taunting a fellow computer expert through a bash script within the Documents directory. Who was the expert that Karen was taunting?

Como la propia pregunta nos indica, Karen se burlaba de su compañero a través de un script en bash ubicado en el directorio Documentos, por lo que debemos averiguar el nombre de su compañero.

Archivo ubicado en la ruta root/root/Documents/firstscript_fixed

Question 10

Q10: A user executed the su command to gain root access multiple times at 11:26. Who was the user?

Debemos averiguar qué usuario ejecutó el comando su para obtener acceso como usuario root en varias ocasiones a las 11:26.

Para poder averiguarlo simplemente nos dirigimos a los logs y verificamos el archivo auth.log.

Question 11

Q11: Based on the bash history, what is the current working directory?

De nuevo como hicimos anteriormente, revisaremos el archivo bash_history para descubrir el directorio de trabajo actual.

0
Subscribe to my newsletter

Read articles from elc4br4 directly inside your inbox. Subscribe to the newsletter, and don't miss out.

CTF WriteupcyberdefendersSOCSOC AnalystDigital Forensics

Written by

elc4br4
elc4br4

Cybersecurity Student