Skip to main content
HashnodeNickson-CTF

Command Palette

Search for a command to run...

Reaper | hackthebox

Published
5 min read
N
nickson diaz
Part of seriesCTF

Sherlock scenario

Our SIEM alerted us to a suspicious logon event which needs to be looked at immediately . The alert details were that the IP Address and the Source Workstation name were a mismatch .You are provided a network capture and event logs from the surrounding time around the incident timeframe. Corelate the given evidence and report back to your SOC Manager.

Escenario Sherlock

Nuestro SIEM nos alertó sobre un evento de inicio de sesión sospechoso que requiere revisión inmediata. La alerta indicaba que la dirección IP y el nombre de la estación de trabajo de origen no coincidían. Se le proporcionó una captura de red y registros de eventos del período cercano al incidente. Corresponda la evidencia obtenida e informe a su administrador del SOC.

Task #1

What is the IP Address for Forela-Wkstn001?

Para poder identificar la ip de este dominio tenemos que ver un poco por encima los paquetes que se esctan comunicando y una ves dentro del mismo identificar la ip del dominio.

Press enter or click to view image in full size

Press enter or click to view image in full size

Aqui podemos ver el servidor en si y si bajamos a la capa 3 dentro del mismo paquete podemos identificar la ip.

Press enter or click to view image in full size

que es la ip de origen.

Press enter or click to view image in full size

Task #2

What is the IP Address for Forela-Wkstn002?

Esto la obtuve de la misma manera:

Press enter or click to view image in full size

Press enter or click to view image in full size

Pero habia una cosa que desconocia si se filtra por el protocolo NBSN tambien se puede.

NBSN:

El protocolo NBNS (NetBIOS Name Service) es un servicio de red que permite a las aplicaciones NetBIOS (como las que utilizan el sistema heredado de Windows) resolver nombres de hosts de red en direcciones IP. Funciona de manera similar a DNS, pero específicamente para nombres NetBIOS, y típicamente utiliza el protocolo de transporte UDP en el puerto 137, y se utiliza en la misma subred de red ya que no atraviesa routers.

Task #3

What is the username of the account whose hash was stolen by attacker?

Para responder la misma tendremos que salir del pcap y entrar a los archivo de logs del sistema en este caso nos dejan los de seguridad y a partir del mismo debemos determinar el logeo para esto tenemos que buscar el log 4624 y ver quienes se loguearon en el sistema.

Press enter or click to view image in full size

Y con esto tenemos varias respuestas.

Press enter or click to view image in full size

Task #4

What is the IP Address of Unknown Device used by the attacker to intercept credentials?

En el mismo log se vera toda la informacion.

Task #5

What was the fileshare navigated by the victim user account?

Tenemos que volver al archivo pcap y filtrar por la ip y ver el comportamiento que este tubo una ves entro en las carpetas compartidas.

Puede ser con el siguiente filtro: ip.addr == 172.17.79.136

ya que fue la pc que este se logueo luego de robar las credenciales con el MitM

Press enter or click to view image in full size

Press enter or click to view image in full size

Task #6

What is the source port used to logon to target workstation using the compromised account?

En el mismo log que teniamos orita se puede ver.

Press enter or click to view image in full size

Task #7

What is the Logon ID for the malicious session?

Este tambien se encuentra en el log que contiene el inicio de secion asi como les dije este es muy importante para la investigacion.

Press enter or click to view image in full size

Task #8

The detection was based on the mismatch of hostname and the assigned IP Address.What is the workstation name and the source IP Address from which the malicious logon occur?

Esta la respondimos mediante correlacion, ya que el log de inicio de seccion nos dice que el atacante utilizo una ip y aparte a la maquina que se y esta la logramos ver en el trafico despues que hubo el comportamiento inusual.

FORELA-WKSTN002, 172.17.79.135

Task #9

At what UTC time did the the malicious logon happen?

Press enter or click to view image in full size

Task #10

What is the share Name accessed as part of the authentication process by the malicious tool used by the attacker?

Para filtrar de una manera mas rapida debemos conocer el siguiente event id el cual nos dara la informacion de los intentos de acceso de los recursos compartidos.

El ID de evento de Windows 5140, que se encuentra en el registro de seguridad, en la categoría Acceso a objetos — Recurso compartido de archivos, indica que se accedió a un recurso compartido de red. Este evento se registra cuando un usuario o proceso intenta acceder por primera vez a un recurso compartido de red durante una sesión de inicio de sesión. Proporciona detalles sobre el usuario, la dirección IP de origen, el nombre del recurso compartido y el tipo de acceso intentado, pero no los archivos específicos a los que se accedió dentro del recurso compartido.

Press enter or click to view image in full size

Press enter or click to view image in full size

#ctf#ctf-writeup#blueteam#hacking

Comments

Join the discussion

No comments yet. Be the first to comment.

CTF

Part 6 of 19

CTF blog series covering challenges from Hack The Box, TryHackMe, LetsDefend, and Blue Team Labs Online. Sharing walkthroughs, tools, attack techniques, defensive strategies, and key lessons learned.

Up next

SmartyPants | HackTheBox

Sherlock Scenario Forela’s CTO, Dutch, stores important files on a separate Windows system because the domain environment at Forela is frequently breached due to its exposure across various industries. On 24 January 2025, our worst fears were realise...

More from this blog

Nickson-CTF

20 posts