PsExec cyberdefenders adalah lab untuk mengidetifikasi lalulintas SMB2 dalam file PCAP dan tools yang akan digunakan yaitu wireshark, tantangan ini kita akan menganalisis pergerakan PsExec, sistem yang disusupi, credesnsial pengguna yang terkena dan berbagai administrasi penting dari sistem.
Sebelum melanjut ke bebrapa task yang akan kita selesaikan, silahkan kalian download file yang telah disediakan oleh lab PsExe cyberdefenders dan ekstrak file zip, untuk passwordnya (https://cyberdefenders.org/ or cyberdefenders.org).
Task 1
To effectively trace the attacker's activities within our network, can you identify the IP address of the machine from which the attacker initially gained access?
Tugas pertama kita akan menganalisis sebuah trafik yang mengidentifikasi alamat ip dari attacker saat mendapatkan akses sistem pertama.
Disini kita asumsikan kamu sudah membuka file pcap melalui WireShark dan perhatikan log awal PsExec terbuat pada Protokol SMB2.
Dengan bukti pada gambar diatas, sudah jelas Ip yang digunakan Oleh attacker adalah 10.0.0.130
Task 2
To fully understand the extent of the breach, can you determine the machine's hostname to which the attacker first pivoted?
Berikutnya kita akan mengidentifikasi Host yang pertama didapatkan dan dijalankan oleh attacker, Pada tugas kedua ini, kita akan menggunakan Fitur Filter dari WireShark.
tcp.stream eq24
Dalam perintah filter diatas digunakan untuk menampilkan hanya satu sesi komunikasi tcp tertentu dan mengisolasi percakapan antara attacker dengan target host, perhatikan pada stream 24 baris ini.
- Tcp Handshake
- SMB2 nego protocol
- NTLM Auth
- Tree Connect ke IPC$
- Tree Connect ke ADMIN$
Perhatikan gambar dibawah dibawah ini dan sudah jelas bahwa mesin tujuan utama dengan terget IP 10.0.0.133.
Kita akan fokus pada section tersebut, Klik kanan dan pilih Follow TCP stream untuk membuka packet stream, dan dibawah inilah penampakan dan jawabannya
Sales-PC
Task 3
Knowing the username of the account the attacker used for authentication will give us insights into the extent of the breach. What is the username utilized by the attacker for authentication?
Setelah kita mengetahui nama pengguna yang digunakan oleh attacker, sekarang kita akan menganalisis untuk mencari tahu dengan spesifik nama pengguna yang digunakan oleh attacker untuk authentication atau otentikasi.
Untuk mempermudahkan pencarian, kita akan menggunakan fitur pencarian.
ntlmssp.auth.username
Dengan perintah diatas, kita akan mendapatkan deretan log dari authentication, perhatikan pada log atas gambar dibawah ini.
Dengan bukti diatas, username yang digunakan untuk outentikasi sudah jelas. yaitu Username ssales.
Task 4
After figuring out how the attacker moved within our network, we need to know what they did on the target machine. What's the name of the service executable the attacker set up on the target?
Lanjut lagi pada task berikutnya, pada task ke-4 ini, kita diberikan tugas untuk mencari tahu nama layanan yang dieksekusi dan disisipkan oleh attacker kedalam sistem. Jika kalian masih ingat, IP attacker adalah 10.0.130.
Kita akan menyaring log dari sources ip tersebut.
ip.src == 10.0.0.130
Dalam wireshark kamu akan melihat daftar log dari aktifitas Ip attacker, tentu kalian dapat melihat beberepa Log mulai dari ACK, Negotiate, Request, Create.
Kita akan fokus dalam permintaan Create pada log, bisa dilihat pada gambar dibawah ini, Tertera jelas Info yang diberikan wireshark. Attacker Melakukan Request untuk membuat file psexesvc.
Task 5
We need to know how the attacker installed the service on the compromised machine to understand the attacker's lateral movement tactics. This can help identify other affected systems. Which network share was used by PsExec to install the service on the target machine?.
Lanjut ketugas ke 5. Pada tugas ini kita disuruh untuk memahami taktik gerakan lateral yang dilakukan penyerang, kita perlu mengetahui bagaimana mereka menginstal layanan pada mesin yang telah disusupi. Informasi ini penting karena dapat membantu kita mengidentifikasi kemungkinan sistem lain di dalam jaringan yang juga terdampak. Berdasarkan hal tersebut, jaringan berbagi (network share) apa yang digunakan oleh PsExec untuk menginstal layanan pada komputer target.
ip.addr == 10.0.0.130 && ip.dst == 10.0.0.133
Filter diatas berfungsi untuk mencari Ip Source dan ke ip tujuan, Btw kalian pasti akan bertanya-tanya. Kenapa saya mengetikan filter Destination diatas?
Sebelum ketahap ini, saya telah melihat Statistik dan request attacker ke ip mana dan Ip tersebut adalah Ip yang memiliki request besar dari semua Ip.
Bisa dilihat pada gambar diatas, Ip yang digunakan oleh attacker dan tertera jelas jaringan yang digunakan oleh PsExec untuk menginstall layanan pada komputer korban.
Task 6
Task ke-6 ini sama persih seperti pada task sebelumnya, yaitu mengidentifikasi jaringan yang digunakan Oleh PsExec untuk berkomunikasi.
Task 7
Now that we have a clearer picture of the attacker's activities on the compromised machine, it's important to identify any further lateral movement. What is the hostname of the second machine the attacker targeted to pivot within our network?
Tiba saatnya kita akan mengerjakan tugas terakhir, pada tugas ini juga hampir sama seperti tugas ke 5, yaitu. Kita akan menuju fitur Statistik dan conversation untuk melihat jumlah packet yang tidak wajar.
Sebelumnya juga kita sudah tahu, Ip yang digunakan oleh attacker.
- 10.0.0.130
- 10.0.0.131
- 10.0.0.132
Setelah kamu menuju Page Conversation, kalian akan melihat Session dengan Packet terbersar (PxExec) dan dibawah tepatnya adalah target analisis kita untuk mengetahui Mesin Host kedua yang ditargetkan oleh attacker.
Setelah kita mengetahui Ip 10.0.0.131 adalah target host yang digunakan oleh attacker, kita akan filter lagi.
ip.addr == 10.0.0.131
Dan boooom, kamu akan melihat semua sesi dari IP tersebut dan tentunya Nama Host kedua yang ditargetkan Oleh attacker.
Penutup
Sebagai penutup, saya sangat bangga menuliskan Write-Up PsExec Hunt cyberdefenders Analisis Log file pcap karena dengan adanya artikel ini, kapanpun saya bisa tetap membukanya jika saya lupa.
Dan dengan artikel ini, semoga bermanfaat bagi calon-calon SOC L1 saat latihan untuk menganalisa Log wireshark.
