GhostDetect Lab - CyberDefenders

Introduction

Instructions:

Ensure that there are no blockers, such as Adblock extensions, that might prevent the lab from opening in a new tab or affect lab’s functionality.
All the lab-related files and tools are on the desktop in 'Start here' directory.
Scenario:

One of the employees reported receiving an email with a suspicious-looking attachment. Suspecting that a known Threat Actor may be attempting to use phishing to gain a foothold in the organization, you need to analyze the provided file and identify the threat.

Tools:

CyberChef
Wireshark
Strings
VS Code
LECmd
ProcMon

CyberDefenders: Blue team CTF Challenges | GhostDetect

Q1

In analyzing the malware’s behavior after the initial intrusion, it’s crucial to understand where it attempts to establish persistence or further infection. Where were the files dropped by the malware located within the system’s file structure?

CyberDefenders đã cung cấp môi trường sandbox tuyệt vời. Ngoài ra trong phần giới thiệu cũng đề cập đến việc sử dụng ProcMon và WireShark như là công cụ để thực hiện bài lab. Do đó công việc của mình chỉ là bật ProcMon và WireShark (thời điểm mình làm thì gần như không phụ thuộc vào các công cụ này), đồng thời thực thi mã độc được cung cấp.

C:\Users\Administrator\AppData\Local\Temp

Q2

The malware’s communication with external servers is key to its operation. What is the URL that was used by the malware to download a secondary payload?

Ngay bên trong thư mục chứa pdf được bật lên, nhận thấy sự xuất hiện kì lạ của tệp .js. Bạn có thể tùy chọn mở bằng Notepad hoặc VSC ngay trên lab.

Sau đó copy nội dung vào https://deobfuscate.relative.im/, một công cụ online được mình sử dụng nhiều trong việc deobfuscator js, theo đó tìm kiếm chuỗi http.

https://windacarmelita.pw/picdir/big/113-1131910-clipart.svg

Q3

Understanding the malware’s defense evasion techniques is essential for developing effective detection strategies. What encryption technique is employed by the malware to conceal its activities or payloads?

Lúc đầu mình đã pass qua câu hỏi này vì chưa thực sự có tìm hiểu cũng như kiến thức nhiều về các loại thuật toán mã hóa. Nhưng sau khi đọc được bài báo cáo của CERT-UAthì mình đã thực hiện tìm kiếm lại trong file js.

Rabbit

Q4

Decrypting payloads is a common technique used by malware to evade initial analysis. What is the decryption key used to unlock the second stage of the malware?

Ngay bên dưới url để download payload 2, hàng loạt thông tin có giá trị được tìm thấy.

dfshji349jg843059utli

Q5

Malware analysis often involves tracking how it interacts with the filesystem. What is the name of the file created by the malware to store decrypted data?

mokpp9342jsOUth.dll

Q6

Analyzing the malware’s execution flow is crucial for understanding its impact and behavior. What function does the malware execute within the DLL to perform its malicious activities?

Thời điểm mình thực hiện lab thì domain không còn, do đó không thể tải được file đã dll như mong muốn. Do đó mình đã thực hiện OSINT theo domain phía trên đã tìm được nhằm tìm các file dll liên quan.

VirusTotal - File - mokpp9342jktihh.dll

VirusTotal - File - sdfhui2kjd.js

Ở file sdfhui2kjd.js, phần Processes tree đề cập đến việc sử dụng rundll32 để chạy hàm được export từ dll mã độc.

NormalizeF

Q7

Investigating related artifacts can provide insights into the broader campaign. What is the name of another JavaScript file that utilizes the domain identified during the investigation?

sdfhui2kjd.js

Q8

Attribution is a critical aspect of threat intelligence. Can you identify which Advanced Persistent Threat (APT) group is likely behind this attack?

Theo thông tin từ báo cáo của CERT-UA, dề cập đến thông tin về nhóm tin tặc đằng sau chiến dịch.

UAC-0057

Q9

What is the country of origin associated with the APT group identified in this investigation?

Belarus