İçindekiler;
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son
Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "l337 S4uc3" adlı labın ağ trafiğini inceleyip, çözümünü gerçekleştireceğiz.
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Kullanılan Programlar:
NetworkMiner(İndirmek İçin; NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏)
Wireshark(İndirmek İçin; Wireshark · Go Deep.)
Brim(İndirmek İçin; Brim)
1. PCAP: Development.wse.local is a critical asset for the Wayne and Stark Enterprises, where the company stores new top-secret designs on weapons. Jon Smith has access to the website and we believe it may have been compromised, according to the IDS alert we received earlier today. First, determine the Public IP Address of the webserver?
İlk sorumuzda bir şirket var ve bu şirket gizli silah üretimi yapıyor. Jon Smith adında bir varlığın bu şirket ile ilgili web sitesine erişimi varmış. Erken saatlerde sitenin sistemine girildiğine veya sızma olduğuna dair uyarı gelmiş. Sitenin IP adresini yazınız diyor. Bunun için Nesneleri Dışa Aktar -> HTTP dedim. Ana Makine ibaresinin altında IP adresim yazıyor; 74.204.41.73
2. PCAP: Alright, now we need you to determine a starting point for the timeline that will be useful in mapping out the incident. Please determine the arrival time of frame 1 in the "GrrCON.pcapng" evidence file.
Şimdi ise bir yol haritası belirlemek için olayın ilk nerede başladığını bulmamız ve saatini yazmamızı istiyor. Bunun için Wireshark'ta ilk kolona bakabilir veya Brim'e gelip arama kolonuna sort ts yazıp ilk çıkan ifade üzerinde Sağ Tık -> Open details diyerek sağ tarafta açılan pencerede ts kolonunda zamanı bulabilirsiniz. Cevabım; 22:51:07 UTC
3. PCAP: What version number of PHP is the development.wse.local server running?
Üçüncü sorumuzda development.wse.local aresi hangi PHP sürümünü çalıştırıyor diyor. TCP akış kontrolünde bu sorunun cevabını kolayca bulabiliriz. Bunun için Dosya -> Nesneleri Dışa Aktar -> HTTP seçeneklerini takip ettim. Daha sonra açılan pencerede Ana Makine Kolonunda development.wse.local ibaresini aradım. Bulunca bir tık attım ve kapattım, beni ilgili kolona götürdü daha sonra ilgili kolon üzerinde Sağ Tık -> Takip -> TCP Akışı dedim. Cevabım; 5.3.2
4. PCAP: What version number of Apache is the development.wse.local web server using?
Dördüncü sorumuzda development.wse.local adresinin kullandığı Apache versiyonunu soruyor. Az önce yapmış olduğum işlemlerden ayrılmıyorum cevabım hemen aynı sekmede bir üstte; 2.2.14
5. IR: What is the common name of the malware reported by the IDS alert provided?
Sıradaki sorumuzda IDS raporunda yer verilen zararlı dosyanın, virüsün, adını soruyor. Bunun için indirmiş olduğumuz klasörde pcap dosyamızın hemen altında bir görsel var adı IR-Alert.png. Bunu açtığımızda References kısmında bir URL görüyoruz. URL içerisinde ZeuS Banking Trojan Report ibare var
URL sonuna baktığımızda cevabımızın Zeus olduğu anlaşılıyor.
6. PCAP: Please identify the Gateway IP address of the LAN because the infrastructure team reported a potential problem with the IDS server that could have corrupted the PCAP
Diğer sorumuzda Altyapı ekibi IDS sunucusunda PCAP'yi bozmuş olabilecek olası bir sorun bildirdiğinden lütfen LAN'ın Ağ Geçidi IP adresini belirleyin demiş. Bunun için Wireshark'a pcap'imi yansıttım İstatistikler -> Uç Noktalar kısmına girdim cevabım alt tarafta; 172.16.0.1
7. IR: According to the IDS alert, the Zeus bot attempted to ping an external website to verify connectivity. What was the IP address of the website pinged?
Yedinci sorumuzda IDS verilerine göre Zeus zararlısı bağlantıyı kurup kurmadığını test etmek için bir web sitesine istek göndermiş. Bu sitenin IP adresini soruyor. Bunun için beşinci sorumuzda yer alan adımları takip ettiğimizde görsel içerisinde cevabımızın 74.125.225.112 olduğunu görüyoruz. www.abuseipdb.com/check/74.125.225.112 sorgusu yaptığımız zamanda host'un googleye ait olduğu görülüyor.
8. PCAP: It’s critical to the infrastructure team to identify the Zeus Bot CNC server IP address so they can block communication in the firewall as soon as possible. Please provide the IP address?
Sekizinci soruda güvenlik duvarında iletişimi en kısa sürede engelleyebilmesi için Zeus Bot CNC sunucusunun IP adresini tanımlamak altyapı ekibi için çok önemlidir. Lütfen IP adresini girin demiş. Bunun için önceden kullanmış olduğumuz bir yöntem vardı Dosya -> Nesneleri Dışa Aktar -> HTTP seçeneği bu sayede application/octet-stream ibaresini buluyor, içerik türü ibaresine bir tık atarak virüslü dosyanın kendisine ulaşma birebir analiz etme imkanı buluyorduk. Bende öyle yaptım ve Ana Makine Adı kolonunda IP adresini tespit ettim; 88.198.6.20
9. PCAP: The infrastructure team also requests that you identify the filename of the “.bin” configuration file that the Zeus bot downloaded right after the infection. Please provide the file name?
Zeus adlı zararlı bulaştıktan bir indirme işlemi yapmış ve bu indirme işleminden sonra indirmiş olduğu nesneyi uzantısı ile birlikte istiyor. Bunun için üstte yer alan(sekizinci soru) penceremden ayrılmıyorum hemen bir yanda ögemin adının cf.bin olduğunu görüyorum.
10. PCAP: No other users accessed the development.wse.local WordPress site during the timeline of the incident and the reports indicate that an account successfully logged in from the external interface. Please provide the password they used to log in to the WordPress page around 6:59 PM EST?
Olayın zaman çizelgesi boyunca başka hiçbir kullanıcı Development.wse.local WordPress sitesine erişmedi ve raporlar, harici arabirimden başarıyla oturum açan bir hesabın olduğunu gösteriyor. Lütfen WordPress sayfasında oturum açmak için kullandıkları parolayı saat 6:59'da (EST) belirtin demiş. Bunun için Networkminer'da analiz yapacağız uzantı değitirmemiz gerekiyor hemen Dosyalar sekmesinden Farklı Kaydet -> WireShark/tcpdump/ seçeneğini seçerek bir isim de koyarak uygun bir yere kaydedin. Kaydedilen pcap dosyanızı Networkminer'da açtıktan sonra Credentials sekmesine gidin burada kullancı adı ve şifreleri göreceksiniz kolaylık açısından altta yer alan kaydırma kısmını kullanarak daha iyi bir görünüm elde edebilirisiniz neyse sorumuza dönecek olur isek bizden 6:59 PM saatinin EST cinsinden çevirmemiz ve Network miner üzerinde parolanın kaç olduğunu bulmamız gerekiyor.
Ben bu siteneden(UTC to EST Converter - Savvy Time) çevirince 6:59'un 10:59 pm yani gece 22:59'a denk geldiğini gördüm. Ve cevabımın 22:59'da parolasının wM812ugu olduğunu gördüm.
11. PCAP: After reporting that the WordPress page was indeed accessed from an external connection, your boss comes to you in a rage over the potential loss of confidential top-secret documents. He calms down enough to admit that the design's page has a separate access code outside to ensure the security of their information. Before storming off he provided the password to the designs page “1qBeJ2Az” and told you to find a timestamp of the access time or you will be fired. Please
provide the time of the accessed Designs page?
Patron bu olası saldırıdan sonra gizli belgelerin sızdırıldığını düşünerek sinirlenmiş. Ama bu gizli belgelere ulaşmak için ayrı bir kod varmış bunu duyunca sakinleşmiş. Önce şifreyi tasarımlar sayfasına “1qBeJ2Az” verdi ve erişim süresinin zaman damgasını bulmanız gerektiğini söyledi, aksi takdirde işten çıkarılacak.
Lütfen erişilen tasarımlar sayfasının saatini belirtin demiş. Bunun için arama kısmına frame contains "1qBeJ2Az" && http.request.method == POST kodunu girdim ve UTC zamanını görüntülemek için üst sekmeden Görünüm -> Zaman Görüntüleme Biçimi -> UTC Yılı, Yılın Günü ve Günün Saati seçeneğini seçtim ve ana ekrana dönünce cevabımın 23:04:04 UTC olduğunu gördüm.
- Son -
Çeviride yardımcı olan sayın @Beklenmeyen Misafir 'e teşekkürlerimi sunuyorum.
