hyperfiletable

Veröffentlicht2023-11-13
Retired2024-02-08
Autorblitztide

Szenario

Es gibt einen neuen Mitarbeiter in Forela, sie haben ihre Einarbeitungsunterlagen heruntergeladen, jedoch hat es jemand geschafft, den Benutzer mit einem bösartigen Anhang zu ködern. Wir haben nur den MFT-Eintrag für den neuen Benutzer extrahiert. Können Sie diese Informationen untersuchen?

Task 01

Frage: Was ist der MD5-Hash des MFT?
Original: What is the MD5 hash of the MFT?

Hierbei handelt es sich um eine Kontrolle ob die Datei komplett und unverändert übertragen wurde. Der Hash kann zb. via PowerShell Get-FileHash .\mft.raw -Algorithm md5 | Select-Object Hash ermittelt werden, wobei Select-Object auf die Spalte Hash sicherstellt, das nur diese ausgegeben wird, während der Get-FileHash Befehl noch weitere Spalten zurückgibt.

Antwort: 3730c2fedcdc3ecd9b83cbea08373226

Task 02

Frage: Wie lautet der Name des einzigen Benutzers auf dem System?
Original: What is the name of the only user on the system?

Zur weiteren Verarbeitung der MFT Datei kann ein Tool von Eric Zimmerman MFTECmd genutzt werden. Hiermit werden die Einträge in ein anderes Format gewandelt und können mit weitergehender Software einfacher verarbeitet werden. Mittels MFTECmd.exe -f '.\mft.raw' --csv . --json . wird die übergebene MFT analysiert und die Einträge in einer csv und einer json Datei abgelegt. Eine Suche nach \Users\ in den Dateien ergibt 5.641 Treffer, aus deren gesamten Pfade schnell ersichtlich der Benutzer “Randy Savage” erkannt werden kann.

Antwort: Randy Savage

Task 03

Frage: Wie lautet der Name der bösartigen HTA-Datei, die von diesem Benutzer heruntergeladen wurde?
Original: What is the name of the malicious HTA that was downloaded by that user?

Bei der Suche nach .hta Dateien im MFT werden nur 2 Treffer gegeben, wobei es sich bei dem zweiten gefundenen Eintrag um den Zone.Identifier (siehe Task 04) der gleichen handelt. Es handelt sich hierbei um die gesuchte Datei.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

{
    "EntryNumber": 103820,
    "SequenceNumber": 7,
    "ParentEntryNumber": 105011,
    "ParentSequenceNumber": 2,
    "InUse": true,
    "ParentPath": ".\\Users\\Randy Savage\\Downloads",
    "FileName": "Onboarding.hta",
    "Extension": ".hta",
    "IsDirectory": false,
    "HasAds": true,
    "IsAds": false,
    "FileSize": 1144,
    "Created0x10": "2023-04-05T13:21:40.0706726+00:00",
    "LastModified0x10": "2023-04-05T13:21:45.6478863+00:00",
    "LastModified0x30": "2023-04-05T13:21:40.0732403+00:00",
    "LastRecordChange0x10": "2023-04-05T13:21:45.6478863+00:00",
    "LastRecordChange0x30": "2023-04-05T13:21:40.2279587+00:00",
    "LastAccess0x10": "2023-04-05T13:22:00.9916344+00:00",
    "LastAccess0x30": "2023-04-05T13:21:40.0732403+00:00",
    "UpdateSequenceNumber": 27166224,
    "LogfileSequenceNumber": 375731114,
    "SecurityId": 1793,
    "SiFlags": 32,
    "ReferenceCount": 1,
    "NameType": 1,
    "Timestomped": false,
    "uSecZeros": false,
    "Copied": false,
    "FnAttributeId": 7,
    "OtherAttributeId": 4
}

Antwort: Onboarding.hta

Task 04

Frage: Was ist die ZoneId des Downloads für die bösartige HTA-Datei?
Original: What is the ZoneId of the download for the malicious HTA file?

Der zuvor erwähnte zweite Treffer ist der gesuchte Zone.Identifier der bösartigen Datei. Dies bezieht sich auf die Alternate Data Streams von NTFS. Bei der ZoneId handelt es sich um ein Feature was mit Windows XP SP2 eingeführt wurde. Es wird die Herkunft der Datei (zb durch einen Download) an eine Datei auf Dateisystem-Ebene geschrieben.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

{
    "EntryNumber": 103820,
    "SequenceNumber": 7,
    "ParentEntryNumber": 105011,
    "ParentSequenceNumber": 2,
    "InUse": true,
    "ParentPath": ".\\Users\\Randy Savage\\Downloads",
    "FileName": "Onboarding.hta:Zone.Identifier",
    "Extension": ".Identifier",
    "IsDirectory": false,
    "HasAds": false,
    "IsAds": true,
    "FileSize": 389,
    "Created0x10": "2023-04-05T13:21:40.0706726+00:00",
    "LastModified0x10": "2023-04-05T13:21:45.6478863+00:00",
    "LastModified0x30": "2023-04-05T13:21:40.0732403+00:00",
    "LastRecordChange0x10": "2023-04-05T13:21:45.6478863+00:00",
    "LastRecordChange0x30": "2023-04-05T13:21:40.2279587+00:00",
    "LastAccess0x10": "2023-04-05T13:22:00.9916344+00:00",
    "LastAccess0x30": "2023-04-05T13:21:40.0732403+00:00",
    "UpdateSequenceNumber": 27166224,
    "LogfileSequenceNumber": 375731114,
    "SecurityId": 1793,
    "ZoneIdContents": "[ZoneTransfer]\r\nZoneId=3\r\nHostUrl=https://doc-10-8k-docs.googleusercontent.com/docs/securesc/9p3kedtu9rd1pnhecjfevm1clqmh1kc1/9mob6oj9jdbq89eegoedo0c9f3fpmrnj/1680708975000/04991425918988780232/11676194732725945250Z/1hsQhtmZJW9xZGgniME93H3mXZIV4OKgX?e=download&uuid=56e1ab75-ea1e-41b7-bf92-9432cfa8b645&nonce=u98832u1r35me&user=11676194732725945250Z&hash=j5meb42cqr57pa0ef411ja1k70jkgphq\r\n",
    "SiFlags": 32,
    "ReferenceCount": 1,
    "NameType": 1,
    "Timestomped": false,
    "uSecZeros": false,
    "Copied": false,
    "FnAttributeId": 7,
    "OtherAttributeId": 9
}

Im Eintrag ZoneIdContents (Zeile 23) ist die gesuchte ZoneId ersichtlich. Da es sich um die Zone 3 (“Internet Zone”) handelt, ist außerdem die HostUrl erfasst.

Antwort: 3

Task 05

Frage: Was ist die Download-URL für die bösartige HTA?
Original: What is the download URL for the malicious HTA?

Aus der zuvor ausgelesenen ZoneId lässt sich auch die gesuchte Download-URL auslesen.

Antwort: https://doc-10-8k-docs.googleusercontent.com/docs/securesc/9p3kedtu9rd1pnhecjfevm1clqmh1kc1/9mob6oj9jdbq89eegoedo0c9f3fpmrnj/1680708975000/04991425918988780232/11676194732725945250Z/1hsQhtmZJW9xZGgniME93H3mXZIV4OKgX?e=download&uuid=56e1ab75-ea1e-41b7-bf92-9432cfa8b645&nonce=u98832u1r35me&user=11676194732725945250Z&hash=j5meb42cqr57pa0ef411ja1k70jkgphq

Task 06

Frage: Wie groß ist die zugewiesene Größe für die HTA-Datei? (in Bytes)
Original: What is the allocated size for the HTA file? (bytes)

Die initial zugewiesene Größe für die .hta Datei lässt sich aus dem Eintrag zu ONBOAR~1.HTA (dem für das MFT verkürzten Namen der gesuchten Datei) zb. mit Mft2Csv auslesen.

Antwort: 4096

Task 07

Frage: Wie groß ist die tatsächliche Größe der HTA-Datei? (in Bytes)
Original: What is the real size of the HTA file? (bytes)

Zeile 12 aus Task 03 liefert die gesuchte echte Größe der Datei.

Antwort: 1144

Task 08

Frage: Wann wurde die PowerPoint-Präsentation vom Benutzer heruntergeladen?
Original: When was the powerpoint presentation downloaded by the user?

PowerPoint Präsentation werden durch die Dateiendung .ppt, bzw seit PowerPoint 2008 mit .pptx gekennzeichnet. Eine Suche nach diesen Endungen im MFT zeigt den Download einer Proposal.pptx

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

{
    "EntryNumber": 105622,
    "SequenceNumber": 4,
    "ParentEntryNumber": 107430,
    "ParentSequenceNumber": 3,
    "InUse": false,
    "ParentPath": ".\\Users\\Randy Savage\\Documents\\Work",
    "FileName": "Proposal.pptx",
    "Extension": ".pptx",
    "IsDirectory": false,
    "HasAds": true,
    "IsAds": false,
    "FileSize": 16552989,
    "Created0x10": "2023-04-05T13:11:49.7425214+00:00",
    "LastModified0x10": "2023-04-05T13:11:53.9605745+00:00",
    "LastRecordChange0x10": "2023-04-05T13:12:14.5858420+00:00",
    "LastRecordChange0x30": "2023-04-05T13:11:53.9605745+00:00",
    "LastAccess0x10": "2023-04-05T13:11:53.9605745+00:00",
    "UpdateSequenceNumber": 26143496,
    "LogfileSequenceNumber": 375276644,
    "SecurityId": 1793,
    "SiFlags": 32,
    "ReferenceCount": 1,
    "NameType": 1,
    "Timestomped": false,
    "uSecZeros": false,
    "Copied": false,
    "FnAttributeId": 10,
    "OtherAttributeId": 4
}

Der Zeitstempel in Zeile 13 Created0x10 gibt den Zeitpunkt der Dateierstellung an.

Antwort: 05/04/2023 13:11:49

Task 09

Frage: Der Benutzer hat sich Notizen zu seinen Arbeitsanmeldeinformationen gemacht. Was ist sein Passwort?
Original: The user has made notes of their work credentials, what is their password?

Um weitere Dokumente zu finden wird der vom Benutzer genutzte Dateipfad weiter untersucht. Eine Suche nach Dateien in \Users\Randy Savage\Documents\Work zeigt zwei weitere Dateien:

  • Stats.xls
  • notes.txt

Kleine (118 Bytes im Fall von notes.txt) Dateien können “manchmal” komplett im MFT abgelegt werden. Diese resident Files könen mit MFTECmd mittels der Flag --dr aus dem MFT gelesen werden, in diesem Fall auch die gesuchte notes.txt:

    New onboarding process:
    Download onboarding tool from Google Drive
    Username: RSavage
    Password: ReallyC00lDucks2023!

Antwort: ReallyC00lDucks2023!

Task 10

Frage: Wie viele Dateien befinden sich noch unter dem Verzeichnis C:\Benutzer? (Rekursiv)
Original: How many files remain under the C:\Users\ directory? (Recursively)

Hierfür müssen die Dateien die sich im /Users Verzeichnis finden, die noch existieren und bei denen es sich um echte Dateien handelt gezählt werden. Hierfür kann beispielsweise der Timeline Editor von Eric Zimmerman genutzt werden und nach

    AND 
        ParentPath begins with .\Users 
        In Use = Checked 
        Is Ads = Unchecked 
        Is Directory = Uncheck

gefiltert werden.

Antwort: 3471