HawkEye - CyberDefenders Lab

JohnWick51

Uzman üye
20 Mar 2022
1,865
770
28
İçindekiler;
- Başlama
- Kullanılan Programlar
- Soruların Çözümü
- Son

Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "HawkEye" adlı labın ağ trafiğini inceleyip, çözümünü gerçekleştireceğiz.

CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).

Kullanılan Programlar:

NetworkMiner(İndirmek İçin; NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏)
Wireshark(İndirmek İçin; Wireshark · Go Deep.)


f8l1281.png

1. How many packets does the capture have?

İlk soruda kaç paketin kayıta alındığını soruyor. Bunun için İstatistikler -> Yakalanan Dosya Özellikleri seçeneklerini takip ediyorum. Karşıma çıkan pencerede aşağıda Paketler sekmesinin karşısında Yakalandı ibaresi altında cevabım; 4003





2. At what time was the first packet captured?

İkinci soruda ilk paketin ne zaman hangi tarihte veri olarak kayda geçtiğini soruyor. Görünüm sekmesi -> Zaman Görüntüleme Biçimi -> UTC Tarihi ve Günün Saati sekmesini işaretliyoruz Time ibaresinin altında cevabımı görüyorum. 2019-04-10 20:37:07 UTC



3. What is the duration of the capture?

Üçüncü soruda veri kaydedilmiş ve bunun süresini soruyor. Bunun için ilk sorudaki İstatistikler -> Yakalanan Dosya Özellikleri seçeneklerini takip ediyorum cevabım açılan pencerede Süre ibaresinin karşısında; 01:03:41





4. What is the most active computer at the link level?

Sıradaki sorumuzda en fazla bağlantı gerçekleştirmiş yani aktivite gerçekleştirmiş cihazın MAC adresi türünden cevaplanmasını istiyor bunun için İstatistikler -> Uç Noktalar seçeneklerini takip edelim ve açılan pencerede 4003 ifadesinin yanındaki ibare MAC adresimiz olacak; 00:08:02:1c:47:ae





5. Manufacturer of the NIC of the most active system at the link level?

Beşinci sorumluzda cihazda aktiflik sağlayan cihazın üretici firmasının adını soruyor. Az önce bir veri elde etmiştik MAC adresi bunun ile arama kısmına şunu yazalım; "eth.addr==00:08:02:1c:47:ae" Enter tuşuna bastıktan sonra aşağıda otomatik olarak seçili gelecektir. Ethernet ibarasinde şöyle bir ibare gördüm Hewlett_P1c:47:ae ancak bu yeterli değildi ve soruda benden tam cevabı istiyordu bende her Homo Sapien türünün yaptığı gibi google arama motoruna Hewlett P yazdım ve cevabım tabiki de; Hewlett-Packard.





6. Where is the headquarter of the company that manufactured the NIC of the most active computer at the link level?

Sıradaki sorumuzda az bulduğumuz HP markanın nerede olduğunu soruyor. Aynı sayfa içerisinde cevabımın Palo Alto olduğunu görüyorum.



7-) The organization works with private addressing and netmask /24. How many computers in the organization are involved in the capture? (Kuruluş özel adresleme ve ağ maskesi /24 ile çalışır. Kuruluştaki kaç bilgisayar yakalam işlemine dahil oluyor?)

Soruda verilenden yola çıkarak aradığımız IP aralığının aşağıdaki aralıklarda olacağı çıkarımını yapabiliriz;

*Hangi IP Adresleri Özeldir? İnternet Atanmış Numaralar Otoritesi/the Internet Assigned Numbers Authority (IANA), özel IP adresleri olarak kullanılmak üzere aşağıdaki IP adresi bloklarını saklı tutar:

A Sınıfı: 10.0.0.0 — 10.255.255.255

B Sınıfı: 172.16.0.0 — 172.31.255.255

C Sınıfı: 192.168.0.0 — 192.168.255.255

Buradan yola çıkarak İstatistik > Uç Noktalar > IPv4 e gelirsek (IP adresleri bir düzen içerisindeyse herhangi bir işleme gerek yok fakat IP adresleri düzensiz ise Address sütununa bir kez tıklayarak hizalama işlemi gerçekleştirebiliriz.) burada bizim IANA ya uyan 4 adet IP adresini görüntülüyoruz:

10.4.10.2

10.4.10.4

10.4.10.132

10.4.10.255 buradaki IP adreslerine göre cevap 4 diyebilirsiniz fakat en sondaki 10.4.10.255 IP adresi herhangi bir bilgisayara atanamayacağı çünkü broadcast(yayın) bir IP adresidir.

Cevap: 3

8. What is the name of the most active computer at the network level?

Sekizinci sorumuzda ağdaki en aktif bilgisayarın adını soruyor. Bunun için stealer.pcap dosyamı NetworkMiner adlı programa yansıttım ve cevabım Hosts sekmesinde; [BEIJING-5CD1-PC] [beijing-5cd1-pc] [Beijing-5cd1-PC] (Windows)



9. What is the IP of the organization's DNS server?

Dokuzuncu soruda DNS sunucusunun IP adresini soruyor. Bunun için stealer.pcap dosyamı NetworkMiner adlı programa yansıttım "Sessions" sekmesinde cevabımın 10.4.10.4 olduğunu gördüm.



10. What domain is the victim asking about in packet 204?

Kurban olduğumun 204. pakette hangi web adresine istek attığını soruyor. Bunun için Wireshark programıma stealer.pcap dosyamı yansıttım ve arama kısmına frame.number == 204 yazdım. Aşağıda yer alan alanda Domain Name System (query) -> Queries tıklayınca cevabımın; proforma-invoices.com olduğunu gördüm.



11. What is the IP of the domain in the previous question?

On buruncu sorumuzda yukarıda bulduğumuz domain adresinin IP adresini soruyor. Bunun için Wireshark adlı programıma stealer.pcap dosyamı yansıttım ve arama kısmına şu ibareyi yazıp enter tuşuna bastım; proforma-invoices.com. Daha sonra çıkan sonuçlarda cevabım Destination sekmesinde; 217.182.138.150



12. Indicate the country to which the IP in the previous section belongs.

On ikinci sorumuzda on birinci soruda bulmuş olduğumuz IP adresinin hangi ülkeye ait olduğunu soruyor. Bunun için abuseipdb.com adresine gittim ve 217.182.138.150 adresini arama kısmına yazarak Check butonuna bastım. Cevabım France.



13. What operating system does the victim's computer run?

Kurban olduğumun bilgisayarında hangi Windows sürümü var diyor. Bunun için Networkminer'a geri döndüm ve 10.4.10.132 IP'li(Hatırlayın bu kurban idi) kısımda yer alan "+" sekmesine bir tık attım ardından "Host Details" ibaresinin "+" kısmına bir tık attım cevabım cümle içinde Windows NT 6.1



14. What is the name of the malicious file downloaded by the accountant?

On dördüncü sorumuzda indirilen zararlı dosyanın adını soruyor. Bunun için Networkminer üzerinde dosyalar yani "Files" kısmına gittim cevabım; tkraw_Protected99.exe




15. What is the md5 hash of the downloaded file?

On beşinci sorumuzda indirilen zararlı dosyanın MD5 Hash kodunu soruyor. Networkminer'ı kapatmıyoruz az önci soruda yer alan sekmede tkraw_Protected99.exe üzerine Sağ Tık -> File details diyoruz ve açılan pencerede cevabımızı görüyoruz. 71826ba081e303866ce2a2534491a2f7





16. What is the name of the malware according to Malwarebytes?

On altıncı sorumuzda indirilen zararlı dosyanın Malwarebytes adlı antivirüs veri tabanında yer alan virüs listesinde adının ne olarak gözüktüğünü soruyor. Örneğin Avira'nın bir zamanlar meşhur virüs tanımı olan TR/Dropper.GEN gibi...
tkraw_Protected99.exe ifadesini raporlar arasında bulmam gerek.Bunun için Networkminer üzerinde tkraw_Protected99.exe ifadesine Sağ Tık -> Open folder seçeneğini kullanıp zararlı dosyayı buluyor ve kopyalayarak masaüstüne çıkartıyorum. Virüs tanımına ulaşmak içinse virüs total üzerinde taratacağım Malwarebytes adlı antivirüsün karşılık gelen virüs tanım ibaresini bulacağım. Cevabım; Spyware.HawkEyeKeyLogger







17. What software runs the webserver that hosts the malware?

On yedinci sorumuzda zararlı yazılımın hangi web sunucusu üzerinde çalıştığını soruyor. Bunun için Wireshark'a geri dönüyorum. Virüsümün TCP akışını kontrol edeceğim. Üstte yer alan sekmelerden Dosya -> Nesneleri Dışa Aktar -> HTTP seçeneklerini takip ediyor ve içerisinde application/x-msdownload ibaresini veya tkraw_Protected99.exe ögesini buluyorum bir tık atıyor ve çıkıyorum, ana ekrana döndüğümde beni otomatik seçili bir alana getiriyor. Burası zararlı yazılımımızın TCP akışını kontrol edeceğimiz alan. TCP akışını görmek için otomatik seçili alan üzerinde Sağ Tık -> Takip -> TCP Akışı diyorum. Ve cevabım Server ibaresinin karşısında yer alan ifade LiteSpeed.









18. What is the public IP of the victim's computer?

Sonraki sorumuzda kurban olduğumun bilgisayarının IP adresini soruyor. Networkminer'a geri dönüyorum. On üçüncü soruda yaptığım işlemlerin aynısını uyguladıktan sonra alt sekmede Public IP Adress ibaresinin karşısında yazılı olan ifade cevabım. 173.66.146.112



19. In which country is the email server to which the stolen information is sent?

Bir sonraki sorumuzda ele geçirilen bilgilerin gönderildiği mail sunucusunun hangi ülkede bulunduğunu soruyor. Bunun için Wireshark'a geri dönüyorum arama kısmına ip.addr == 10.4.10.132 && smtp.req yazıyorum Destination kısmında bir adres belirdi bu adresi abuseipdb.com sitesinde arama kısmında aratıyorum cevabım; United States of America





20. What is the domain's creation date to which the information is exfiltrated?

Yirminci sorumuzda bilgilerin ele geçirildiği mail sunucunusunun yani [email protected] adresinin domain adının oluşturulma tarihini gün, ay, yıl olarak istiyor bunun için macwinlogistics.in adresine Who İs sorgusu atıyorum ve cevabım; Registered On:2014-02-08.



21. Analyzing the first extraction of information. What software runs the email server to which the stolen data is sent?

Yirmi birinci soruda bu yapılan bilgi sızdırma işleminde bir mail kullanıldığını biliyoruz ama hangi araç yolu ile yaptıklarını bilmiyoruz veya neyi kullandıklarını bu soruda onu istiyor bizden bunun için on dokuzuncu soruda yapmış olduğum işlemleri yapıyorum ve herhangi bir nesne üzerinde Sağ Tık -> Takip -> TCP Akışı diyorum cevabım açılan pencerede Exim 4.91.





22. To which email account is the stolen information sent?

Ele geçirilen bilgilerin gönderildiği mail adresini soruyor bir önceki soruda yer alan pencereden ayrılmıyorum cevabım az aşağıda [email protected]



23. What is the password used by the malware to send the email?

Zararlı dosyamızın bu bilgileri göndermek için bir şifreye ihtiyacı var yirmi üçüncü sorumuzda bu şifrenin ne olduğunu soruyor. Bunun için bir yukarıda yer alan penceremden ayrılmıyorum az aşağıda şöyle bir veri dikkatimi çekiyor(aşağıda), şifremin sonunun iki eşittir olmasından dolayı base64 olarak tahmin ediyorum. Zaten veri sonunda tahminlerim doğrulayan ibareler var. Neyse herhangi bir online base64 decode sitesinde ilgili verimi decode ediyorum sonucum;

Dikkatimi çeken veri akışı:
AUTH login c2FsZXMuZGVsQG1hY3dpbmxvZ2lzdGljcy5pbg==
334 UGFzc3dvcmQ6
U2FsZXNAMjM= ---> Gizlenmiş şifrem decode; Sales@23
235 Authentication succeeded

Base64 olduğuna dair kanıt:
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64



24. Which malware variant exfiltrated the data?

Yirmi dördüncü sorumuzda verileri çalan aracın versiyonunu soruyor sanırım. Üst sorularda (22,23) sekmeyi kapatmadan Content-Transfer-Encoding: base64 ibaresinin altındaki şifreli veriyi decode ettim sonucun bir kısmı;

HawkEye Keylogger - Reborn v9 -----> cevabım burada Reborn v9
Passwords Logs
roman.mcguire \ BEIJING-5CD1-PC

==================================================
URL : AOL
Web Browser : Internet Explorer 7.0 - 9.0
User Name : [email protected]



25. What are the bankofamerica access credentials? (username : password)

Yirmi beşinci sorumuzda az önceki decode edilen logda bankofamerica adlı giriş yapılan yerin kullanıcı adı ve şifresini soruyor. Bunun için decode edilen log sayfasında aşağı indim verilerim;

==================================================
URL : Bank of America - Banking, Credit Cards, Loans and Merrill Investing
Web Browser : Chrome
User Name : roman.mcguire ----------> CEVAP
Password : P@ssw0rd$ ---------------> CEVAP
Password Strength : Very Strong
User Name Field : onlineId1
Password Field : passcode1
Created Time : 4/10/2019 2:35:17 AM
Modified Time :
Filename : C:\Users\roman.mcguire\AppData\Local\Google\Chrome\User Data\Default\Login Data
==================================================


26-) Toplanan verilerin kaç dakikada bir sızdırılacağını söylüyor ?

Öncelikle View > Time Display Format (Görüntüle > Zaman Görüntüleme Formatı) UTC Date and Time of Day filtrelemesini seçersek ve [smtp] filtrelemesi yaparsak paketlerin kaç dakikada bir gönderildiğini görüntüleriz ya da:

smtp contains EHLO ifadesini yazarak 2 EHLO mesajı arasındaki zaman farkını ölçerek cevaba ulaşırız.

[20:38:16

20:48:20

20:58:24

21:08:30

21:18:34

21:28:38

21:38:42]

HELO: İstemci, HELO komutunu kullanarak sunucuda "oturum açar"

EHLO (Genişletilmiş Merhaba/Extended Hello) HELO ile aynıdır ancak sunucuya istemcinin bunun yerine Genişletilmiş SMTP (ESMTP) protokolünü kullanmak isteyebileceğini söyler. Herhangi bir ESMTP komutu kullanmamanıza rağmen EHLO kullanılabilir. Ve herhangi bir ek ESMTP komutu sunmayan sunucular normalde en azından EHLO komutunu tanıyacak ve uygun bir şekilde yanıt verecektir.

Cevap: 10

- SON -
Ellerine, Emeyine saglik
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.