Dream Job-1 | HackTheBox
Sherlock Scenario
You are a junior threat intelligence analyst at a Cybersecurity firm. You have been tasked with investigating a Cyber espionage campaign known as Operation Dream Job. The goal is to gather crucial information about this operation.
Escenario de Sherlock
Eres un analista júnior de inteligencia de amenazas en una empresa de ciberseguridad. Te han encomendado investigar una campaña de ciberespionaje conocida como Operación Trabajo Soñado. El objetivo es recopilar información crucial sobre esta operación.
Necesitamos descargas los ioc.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #1
Who conducted Operation Dream Job?
Para reponder la misma tenemos que entrar a mitre y ver que es la Operacion Dream job
Press enter or click to view image in full size
Y aqui podemos ver que el grupo relacionado es Lazarus Group.
Press enter or click to view image in full size
Task #2
When was this operation first observed?
En este mismo apartado podemos ver la respuesta.
Task #3
There are 2 campaigns associated with Operation Dream Job. One is Operation North Star, what is the other?
Aqui tenemos la otra campaña asociada
Associated Campaigns: Operation North Star, Operation Interception
Press enter or click to view image in full size
Task #4
During Operation Dream Job, there were the two system binaries used for proxy execution. One was Regsvr32, what was the other?
Vamos al apartado de tecnicas y aqui podemos ver los proxy que utilizaron.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #5
What lateral movement technique did the adversary use?
Aqui podemos mapearlo y si no un apartado interesante con el que cuenta mitre es.
Press enter or click to view image in full size
Y en este apartado encontramos la respuesta.
Press enter or click to view image in full size
Task #6
What is the technique ID for the previous answer?
La tecnica la podemos verla de la manera anterior o el aparatado normal de mitre.
Press enter or click to view image in full size
Task #7
What Remote Access Trojan did the Lazarus Group use in Operation Dream Job?
Una vez aqui vamos al blog de mitre y encontraremos la respuesta.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #8
What technique did the malware use for execution?
La mayoria de la misma tendremos que bucarla en el blog.
Pudimos ver que ellos utilizaban native api.
Explicacion:
Los adversarios pueden interactuar con la interfaz de programación de aplicaciones (API) nativa del sistema operativo para ejecutar comportamientos. Las API nativas proporcionan un método controlado para llamar a servicios del sistema operativo de bajo nivel dentro del núcleo, como los que involucran hardware/dispositivos, memoria y procesos.[1][2] El sistema operativo utiliza estas API nativas durante el arranque (cuando otros componentes del sistema aún no se han inicializado), así como para ejecutar tareas y solicitudes durante las operaciones rutinarias.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #9
What technique did the malware use to avoid detection in a sandbox?
Press enter or click to view image in full size
Filtrando por la plabra Sandbox podemos encontrar referencias del por que.
y el que ellos utilizaron en este caso fue el segundo aunque los atacantes suelen convinar ambos.
Time Based Evasion
Los adversarios pueden emplear diversos métodos temporales para detectar y evitar entornos de virtualización y análisis. Esto puede incluir la enumeración de propiedades temporales, como el tiempo de actividad o el reloj del sistema, así como el uso de temporizadores u otros desencadenadores para evitar entornos de máquinas virtuales (VME) o entornos aislados, especialmente aquellos automatizados o con un tiempo de funcionamiento limitado.
Los adversarios pueden emplear diversas evasiones temporales, como retrasar la funcionalidad del malware tras su ejecución inicial mediante comandos de suspensión programáticos o funciones de programación nativas del sistema (p. ej., tareas/trabajos programados). Los retrasos también pueden basarse en la espera de que se cumplan las condiciones específicas de la víctima (p. ej., hora del sistema, eventos, etc.) o emplear canales multietapa programados para evitar el análisis y el escrutinio.
Press enter or click to view image in full size
Task #10
To answer the remaining questions, utilize VirusTotal and refer to the IOCs.txt file. What is the name associated with the first hash provided in the IOC file?
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #11
When was the file associated with the second hash in the IOC first created?
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #12
What is the name of the parent execution file associated with the second hash in the IOC?
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #13
Examine the third hash provided. What is the file name likely used in the campaign that aligns with the adversary’s known tactics?
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #14
Which URL was contacted on 2022–08–03 by the file associated with the third hash in the IOC file?
Press enter or click to view image in full size
Press enter or click to view image in full size
