ElectricBreeze-1 | HackTheBox
Sherlock Scenario
Your security team must always be up-to-date and aware of the threats targeting organizations in your industry. As you begin your journey as a Threat Intelligence Intern, equipped with some SOC experience, your manager has assigned you a task to test your research skills and how effectively you can leverage the MITRE ATT&CK framework. Conduct thorough research on Volt Typhoon. Use the MITRE ATT&CK framework to map adversary behavior and tactics into actionable insights. Impress your manager with your assessment, showcasing your passion for threat intelligence.
Escenario Sherlock
Su equipo de seguridad debe estar siempre actualizado y al tanto de las amenazas que afectan a las organizaciones de su sector. Al comenzar su trayectoria como becario de inteligencia de amenazas, con experiencia en SOC, su gerente le ha asignado una tarea para poner a prueba sus habilidades de investigación y la eficacia con la que puede aprovechar el marco MITRE ATT&CK. Realice una investigación exhaustiva sobre Volt Typhoon. Utilice el marco MITRE ATT&CK para mapear el comportamiento y las tácticas de los adversarios y convertirlos en información práctica. Impresione a su gerente con su evaluación y demuestre su pasión por la inteligencia de amenazas.
Task #1
Based on MITRE’s sources, since when has Volt Typhoon been active?
Para responder esta pregunta tenemos que ir a mitre o buscar informes de otros CTI en google ya que hay una documentacion clara del mismo y muchos aportes de la comunicada de investigadores acerca del mismo.
Link de MITRE:
Volt Typhoon
Volt Typhoon is a People's Republic of China (PRC) state-sponsored actor that has been active since at least 2021…
Press enter or click to view image in full size
Una vez en la plataforma y buscamos el nombre del grupo nos aparecera un contexto del mismo y aqui podemos obtener la primera respuesta.
Press enter or click to view image in full size
Task #2
MITRE identifies two OS credential dumping techniques used by Volt Typhoon. One is LSASS Memory access (T1003.001). What is the Attack ID for the other technique?
Esta respuesta la pude encontrar buscando por el apartado de campañas que a tenido el mismo pero tambien un buen tip que pueden llevarse es saber el contexto de lo que estan buscando.
Lsass:
El acceso a memoria de LSASS (Local Security Authority Subsystem Service) se refiere al proceso de un atacante para leer la memoria del servicio LSASS en sistemas Windows con el fin de robar credenciales, como hashes de contraseñas, para obtener acceso a recursos del sistema o moverse lateralmente en una red. LSASS almacena información de autenticación, lo que lo convierte en un objetivo atractivo para el robo de credenciales, y los atacantes utilizan herramientas como Mimikatz para volcar la memoria del proceso y extraer esta información.
Press enter or click to view image in full size
Task #3
Which database is targeted by the credential dumping technique mentioned earlier?
Como pudimos encontrar la anterior podemos entrar al apartado de NTDS y ahora buscaremos que es eso.
Press enter or click to view image in full size
aqui obtenemos una respuesta clara sin tener que salir del apartado de mitre.
Task #4
Which registry hive is required by the threat actor to decrypt the targeted database?
Para responder esta pregunta nos podemos ayudar de la pregunta anterior ya que nos pregunta cual seria el subarbol.
cuando leemos detenidamente nos damos cuenta que el subarbol es system.
Press enter or click to view image in full size
Y esta respuesta se encuentra en el mismo que el anterior.
Press enter or click to view image in full size
Task #5
During the June 2024 campaign, an adversary was observed using a Zero-Day Exploitation targeting Versa Director. What is the name of the Software/Malware that was used?
Press enter or click to view image in full size
ahora nos devolveremos al apartado de grupos para buscar la campaña del año requerido.
Press enter or click to view image in full size
Ahora aqui si vajamos podemos ver el software que se utilizo en esa campaña.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #6
According to the Server Software Component, what type of malware was observed?
para responder la siguiente pregunta vamos a ir al apartado de software y buscar el malware.
Press enter or click to view image in full size
una vez vemos la descripcion del mismo proporcianada por mitre ya tenemos la respuesta la cual es muy importante para los informes
Press enter or click to view image in full size
Task #7
Where did the malware store captured credentials?
Para responder esta pregunta no debemos salir del apartado y ver las tecnicas que utiliza el malware y ahi tendremos la respuesta.
VersaMem staged captured credentials locally at /tmp/.temp.data.
ahora una buena practica del blue team es saber el por que de las cosas.
E investigando el por que encontre esto.
Evadir detección inmediata
En lugar de exfiltrar credenciales de inmediato (lo que puede activar alarmas en un SOC o un IDS/IPS), los atacantes las almacenan localmente primero.
Esto les da tiempo para:
Seguir moviéndose lateralmente en la red.
Consolidar información.
Esperar un momento más seguro para exfiltrar los datos.
Press enter or click to view image in full size
Task #8
According to MITRE’s reference, a Lumen/Black Lotus Labs article(Taking The Crossroads: The Versa Director Zero-Day Exploitaiton.), what was the filename of the first malware version scanned on VirusTotal?
Para responder la misma debemos entrar a este link el cual cuenta con el reporte del mismo.
Press enter or click to view image in full size
Taking the Crossroads: The Versa Director Zero-Day Exploitation
Black Lotus Labs uncovered a zero-day exploit in Versa Director servers. Learn its impact on SD-WAN security and how to…
Una vez navegando un poco en el mismo obtenemos la respuesta.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #9
What is the SHA256 hash of the file?
El hash se encuentra en el mismo blog.
Press enter or click to view image in full size
Press enter or click to view image in full size
Sha256:
4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37
Task #10
According to VirusTotal, what is the file type of the malware?
Press enter or click to view image in full size
Solo ingresando el hash del archivo obtenemos el tipo de malware.
Press enter or click to view image in full size
Task #11
What is the ‘Created by’ value in the file’s Manifest according to VirusTotal?
Esta respuesta la podemos encontrar en el apartado de details.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #12
What is the CVE identifier associated with this malware and vulnerability?
En el apartado de la parte de arriba podemos ver la cve relacionada.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #13
According to the CISA document(https://www.cisa.gov/sites/default/files/2024-03/aa24-038a_csa_prc_state_sponsored_actors_compromise_us_critical_infrastructure_3.pdf) referenced by MITRE, what is the primary strategy Volt Typhoon uses for defense evasion?
Para responder esta pregunta tenemos que dirigirnos para la url que se encuentra en el task.
la respuesta es LOTL ahora que es eso?
Los ataques de “Living off the Land” (LotL) implican el uso de herramientas y tácticas existentes en sistemas o redes objetivo para llevar a cabo un ciberataque. ¿Por qué los atacantes usan técnicas de LotL? Es simple.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #14
In the CISA document, which file name is associated with the command potentially used to analyze logon patterns by Volt Typhoon?
Esta respuesta la podemos encontra leyendo un el reporte.
Press enter or click to view image in full size
Press enter or click to view image in full size
FIN.