Anasayfa Writeup Blue Team CTF: Warzone 1

Blue Team CTF: Warzone 1

Odanın linki : Warzone 1

Bu oda Blue Team CTF odasıdır. Bir şirkette 1. Kademe Güvenlik Analisti olarak görevliyiz ve ilk network vakasını aldık: Kötü Amaçlı Yazılım Komut ve Kontrol( C&C) Etkinliği. Görevimiz, PCAP analizi yaparak bu uyarının gerçek bir tehdit olup olmadığını belirlemek ve gerekli önlemleri almak.

Bu CTF’ de kullanacağımız araçlar ise :

İçindekiler Tablosu

Soru 1: Tespit Edilen Kötü Amaçlı Yazılım Komuta ve Kontrol Etkinliği için uyarı imzası neydi?

Uyarıları izlemek ve olay yönetimi için en iyi seçenek Brim olacaktır. Brim’i açtıktan sonra, hemen alert’ler görüntülenecek ve bir uyarının üzerine tıkladığımızda “alert.signature” bilgisini göreceğiz.

Soru 2-3: Uyarıdaki kaynak ve hedef IP adresi nedir? Cevabınızı güvenli bir formatta girin.

Uyarının üzerine tıkladığımızda hedef ve kaynak IP adresleri gözüküyor. Bunları güvenli formata çevirmek için cyberchef kullanacağım.

Soru 4: VirusTotal’da IP adresini inceleyin. Relations > Passive DNS bölümünde, en çok teşhis edilen alan adı hangisidir? Cevabınızı güvenli bir formatta girin.

Bir sonraki aşamada, VirusTotal‘i ziyaret etmemiz ve “URL” seçeneği yerine “Ara” seçeneğini kullanmamız gerekiyor. IP’yi aradıktan sonra, tıklayabileceğiniz Reletions sekmesi görmelisiniz. Bu sekme, URL’yi bulmak için kullanılır. Güvenli format için yine cyberchef’i kullandım..

Soru 5-6: VirusTotal’ de, Topluluk Bölümünde, Bu IP Adresine Hangi Tehdit Grubu Atfedilmiştir ve Türü Nedir ?

“MirrorBlast” terimi ile ilk karşılaşmamda, bu kelimenin ne anlama geldiğini araştırmaya karar verdim. Araştırmam sonucunda, MirrorBlast’ın siber saldırganlar tarafından kullanılan bir uzaktan erişim Truva atı olduğunu öğrendim. Keşfettiğim bir diğer bilgi ise, “TA505” teriminin MirrorBlast’ı kullanan siber suç grubunun adı olduğuydu.

Soru 7: VirusTotal’ta soru 4’ten gelen alan adı için bir arama yapın. İletişim Dosyaları altında çoğunlukta listelenen dosya türü nedir?

Sorunun cevabını Windows Installer olduğunu görmüş oldum.

Soru 8: IP adresinin web trafiğini inceleyin; trafiğin içindeki user-agent nedir?

“User-Agent” kavramı, internet tarayıcılarının veya başka bir istemcinin, web sunucusuna talep gönderirken kimlik bilgilerini ilettiği bilgiyi ifade eder. Bu bilgi ışığında, Brim aracında “http” araması gerçekleştirdim ve karşıma çıkan ilk “GET” isteğinde yer alan User-Agent bilgisini inceledim.

Soru 9: Saldırıyı takip edin; bu saldırıyla ilişkilendirilmiş birden çok IP adresi bulunmaktadır. Diğer IP adresleri nelerdir? IP adreslerini güvenli bir formatta ve sayısal sırayla girin. (format: IPADDR,IPADDR)

Http yazdıktan sonra sol tarafta yer alan http request kutucuğunu tıkladım. Daha sonra, mevcut filtrede aşağıya doğru ilerledim bu sayede birkaç IP adresi daha buldum. Daha sonra, yeni IP adreslerinin her birini VirusTotal’de arayarak inceledim.Araştırmam sonucunda, yalnızca 2 IP adresinin saldırıyla bağlantılı olduğunu keşfettim.

Soru 10: İndirilen dosyaların dosya adları nelerdi? Cevabı, önceki sorudaki IP adreslerine göre sıralayın. (format: dosya.xyz,dosya.xyz)

Get isteğine baktığımda, dosyanın adını doğrudan görebildim. Ancak diğer dosyanın adını göremedim, bu nedenle HTTP POST isteklerine yönelerek diğer dosyanın adını da buldum.

Soru11 : Önceki sorudan indirilen ilk dosyanın trafiğini inceleyin. İki dosya aynı dizine kaydedilecek. Dizinin tam dosya yolu nedir ve iki dosyanın adı nedir? (format: C:\yol\dosya.xyz,C:\yol\dosya.xyz)

Ağ trafiğini inceleyin dediği için Wireshark uygulamasına geçtim. Daha sonra, arama kısmına HTTP parametresini yazdım ve denilen IP’ nin üstüne tıklayıp Follow-> Tcp stream dedim.

Sayfanın en aşağı kısmına indiğimde ise dosyanın yolunu görmüş oldum.

Soru 12: Önceki sorudan indirilen ikinci dosyanın trafiğini inceleyin. İki dosya aynı dizine kaydedilecek. Dizinin tam dosya yolu nedir ve iki dosyanın adı nedir? (format: C:\yol\dosya.xyz,C:\yol\dosya.xyz)

Wireshark uygulamasında arama kısmına HTTP parametresini yazdım ve denilen IP’ nin üstüne tıklayıp Follow-> Tcp stream dedim.

Sayfanın aşağı kısmına indiğimde ise dosyanın yolunu görmüş oldum.

Bu görselin Alt özniteliği boş. Dosya adı: Screenshot-2024-01-30-at-02.56.18-jpg.webp

Writeup kategorisinde bu yazımızı da inceleyebilirsiniz.

More Reading

Post navigation

Leave a Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir