Operation Blackout 2025: Phantom Check
Talion suspects that the threat actor carried out anti-virtualization checks to avoid detection in sandboxed environments. Your task is to analyze the event logs and identify the specific techniques used for virtualization detection. Byte Doctor requires evidence of the registry checks or processes the attacker executed to perform these checks.
Traduccion…..
Talion sospecha que el actor de amenazas realizó comprobaciones anti-virtualización para evitar ser detectado en entornos aislados. Su tarea consiste en analizar los registros de eventos e identificar las técnicas específicas utilizadas para la detección de la virtualización. Byte Doctor requiere evidencia de las comprobaciones de registro o los procesos que el atacante ejecutó para realizar estas comprobaciones.
Despues de leer la introduccion necesitamos descargar los dos artefactos en este caso son dos archivos con formato .evtx los cuales contienen los logs de powershell y operational del host que fue atacado en este caso para dar una respuesta , para eso vamos a manipular cada uno pero antes dare una introduccion de lo que buscamos para que no se pierdan.
WMI
Visión general creada por IA
WMI, o Windows Management Instrumentation, es una tecnología de Microsoft que permite la administración y monitorización de sistemas Windows, tanto local como remotamente. Proporciona una interfaz estandarizada para acceder a datos y realizar acciones sobre el sistema operativo y sus componentes.
¿Qué es WMI?
WMI es una implementación de la iniciativa Web-Based Enterprise Management (WBEM) de Microsoft, que busca establecer estándares para el acceso y intercambio de información de gestión en entornos empresariales. En esencia, WMI actúa como una infraestructura para la gestión y operaciones en sistemas Windows.
Una vez que sabemos el concepto y luego de buscar un poco mas en google podemos saber que vamos a buscar
Task #1
Which WMI class did the attacker use to retrieve model and manufacturer information for virtualization detection?
Para resolver esta en mi caso estoy utilizando eventlook la cual es una aplicacion para ver de una manera mas amistosa los logs ya que estos se pueden manipular a traves de powershell en windows o con strings en linux en mi caso en la herramienta mi primera query o filtro voy a utilizar manufacturer la cual debe dar una respuesta y una menor cantidad de logs
Press enter or click to view image in full size
como pueden ver aqui utilizando una sola palabra solo nos va a dejar una 15 logs de 631 esta es el arte del queryng en respuesta a incidentes ya que nos permite quedarnos con los datos interesantes para la respuesta.
Para dar la respuesta la podemos ver aqui.
Press enter or click to view image in full size
Ya que en el apartado de ScriptBlockText podemos ver el nombre de la clase utilizada por el atacante.
Press enter or click to view image in full size
Task #2
Which WMI query did the attacker execute to retrieve the current temperature value of the machine?
En este caso para buscar podemos usar la misma metodologia ya que estamos buscando la query utilizada para obtener el valor de temperature entonces por que no filtrar por ese mismo conceptop en el apartado de mensaje ya que en caso de que el atacante obtuvo el valor este termino es predeterminado y no suele ser diferente a si que debio devorverle la temperture = “a algo asi que vamos a filtrar”.
Press enter or click to view image in full size
Una vez filtramos vamos a ver que solo nos quedan dos eventos y ahora vamos a ver cual fue la query utilizada.
Press enter or click to view image in full size
Y asi de forma sencilla podemos encotrar la segunda respuesta.
Press enter or click to view image in full size
Task #3
The attacker loaded a PowerShell script to detect virtualization. What is the function name of the script?
En esta respuesta en realidad no encontre el filtro el nos de pocos logs pero decidi filtrar por la palabra fuction y analisar todos los que salgan una ves despues de ver su logica determinar cual fue la funcion utilizada en el script.
Press enter or click to view image in full size
En realidad en la imagen se ve que es el primero el cual es el contiene el nombre de la funcion pero para serle sincero la forma de buscar mas rapida que utilice para no ver 281 logs que se quedan cuando usas la palabra funcion fue ver la hora entre el logs anterior y este cuando veo la mayoria de logs que tambien salian eran con una diferencia de 3 horas y pos mas que obvio si hay uno que se encuentra en una sercana a la repuesta anterior es mejor darle prioridad a la misma.
Press enter or click to view image in full size
Aqui ya podemos ver el nombre de la funcion.
Press enter or click to view image in full size
Task #4
Which registry key did the above script query to retrieve service details for virtualization detection?
Para este ya no debemos de salir de este logs tan maravilloso que encontramos ya que de este podemos sacar todas las respuesta.
Por que?
El script contiene todas las cargas utiles que el atacante utilizo en caso para obtener cual fue el script es solo scrollear un poco para abajo y ya nos damos cuenta que tenemos la repuesta en nuestra manos.
Press enter or click to view image in full size
Press enter or click to view image in full size
Task #5
The VM detection script can also identify VirtualBox. Which processes is it comparing to determine if the system is running VirtualBox?
Para responder esta pregunta solo tenemos que ir a donde se encuentra el apartado del detector de virtual box asi que podemos ver la funcion del mismo en realidad no tenemos que filtrar ya que s encuentra todo en este log.
Press enter or click to view image in full size
Task #6
The VM detection script prints any detection with the prefix ‘This is a’. Which two virtualization platforms did the script detect?
Una vez aqui solo tenemos cuales son los prints dentro del script y tenemos la respuesta nada.
Conclucion
Este reto en realidad cuando lo realice me agarro de sorpresa ya que conocia el termino de wmi pero no sabia que filtros usar para detectar una intrusion o un intento de la misma espero que esta guia sea de ayuda en tu investigacion.