:::info
Bài báo cáo này sẽ thực hiện 2 phần. Một bài dựng lab tấn công và một bài phân tích tấn công client-side
:::
# Attack by Spearphishing Attachment
Lab này là giả lập một cuộc tấn công Spearphishing Attachment. Người dùng bị tấn công thành công và bị lây nhiễm RAT. Mục tiêu sẽ đọc được file `test1.txt` này tại Desktop nạn nhân
## Reconnaissance
- Máy mục tiêu sử dụng là **Windows 10**
- Mục tiêu sử dụng **Acrobat 9 pro**
- Có sử dụng gmail
## Weaponization
Từ kết quả bước recon, ta có được [CVE-2010-1240](https://nvd.nist.gov/vuln/detail/cve-2010-1240) được sử dụng để khai thác hệ thống của mục tiêu thông qua việc đọc file pdf
Để có 1 file pdf ta sẽ nhờ metasploit gen ra
Đổi tên file cho giống với một file hợp pháp
Khi upload file độc, chắc chắn ta sẽ bị gmail quét, do đó cách để nạn nhân nhận được file này qua mail chỉ bằng cách tạo 1 server do ta dựng để tải xuống
Upload file lên server dùng để phising
Sau khi upload file, nạn nhân sẽ truy cập vào đường link và file cơ chế sẽ được tự động tải về
## Delivery
Gmail hỗ trợ hyperlink và chức năng này có thể bị lợi dụng để giấu link độc hại bên dưới văn bản hiển thị
Tạo mail và gửi cho nạn nhân với các nội dung và file độc hại như sau
## Exploitation & Installation
Khi nạn nhân nhận email, nhấp vào liên kết tải xuống và chạy file đính kèm, attacker sẽ nhận được một phiên shell trên máy
## Command & Control
Để xác nhận được có thể RCE trên máy nạn nhân ta sẽ đọc file `test1.txt` như mô tả ban đầu. Và để kỹ hơn ta sẽ tạo 1 file khác text khác để xác nhận
Bên máy nạn nhân sẽ nhận được file tương tự
## Actions on Objectives
Bước cuối có kẻ tấn công có thể thực hiện các bước như:
- Steal sensitive files: [tham khảo code](https://github.com/tohkabe/dak_magiz/blob/main/Week_4/Task_2/C%20lang/mal.c) tự build này
- Tạo ransom tống tiền: [tham khảo code](https://github.com/tohkabe/dak_magiz/blob/main/Week_4/Task_1/Python%20lang/ransom.py) tự build này
- Leo quyền
- Xóa file backup
## Dấu hiệu nhận biết
### Thời gian gửi mail khác với giờ hành chính
### Các child process được sinh ra như ví dụ của file
### Giám sát lưu lượng mạng để tìm luồng dữ liệu bất thường
### Các event 4688 (Creation process) sẽ xuất hiện
### Sử dụng EDR (Endpoint Detection and Response) để giám sát các process đáng ngờ phát sinh từ các tài liệu Office. Một số process có thể được sinh ra khi chạy như:
1. Windows Scripting Host (wscript.exe or cscript.exe)
2. Command Processor (cmd.exe)
3. PowerShell (powershell.exe)
### Log event xuất hiện các file có extension lạ hoặc không thường dùng với tổ chức như `.rar` hoặc `.ace`, `.iso` hoặc `.img`
# Spearphishing Attachment Attack Analysis
Nạn nhân vừa được cảnh báo về alert cho thấy data của họ đã bị lộ lọt. Bài lab này sẽ tiến hành phân tích email để xác định các event quan trọng đã xảy ra trên máy của nạn nhân.
## Artifacts
## Root cause
Như mô tả bài lab ta sẽ tập trung tìm nguyên nhân cốt lõi trước từ việc nạn nhân đã bị Spearphishing
### The sender
Path nơi lưu mail (outlook mail) mà nạn nhân nhận được mail
```
Users/ash.williams/AppData/Local/Microsoft/Outlook/
```
Ta sẽ sử dụng tool có tên là `XstReader` để phân tích file này
Một mail đến từ **ImSecretlyYours@proton.me** với nội dung khá khả nghi rằng tải file này để có membership card để vào cửa nhưng khi kiểm tra kỹ thì nó đang trỏ đến 1 IP **44.206.187.144** đồng thời tải file y như [lab tấn công](#Attack-by-Spearphishing-Attachment)
### Social Engineẻr victim
Khi nạn nhân nhận được mail họ đã tra trên mạng về loại membership card. Ban đầu dùng Edge nhưng bên trong chỉ có mỗi nội dung là tải firefox
Chuyển sang firefox thấy nạn nhân đã tìm hiểu về **Superstar cafe membership**
### IP Hosting
```
http://44.206.187.144:9000/Superstar_MemberCard.tiff.exe
```
Tra trên VT khi sang tab `Relations` ta thấy được có rất nhiều file độc hại được tải về từ IP này. Lý do nó báo xanh vì nó là IP hosting
## Malicious file activated
### Event ID Sysmon 1
Sau khi xác định được file mà T.A gửi cho nạn nhân ta sẽ xác định thời gian mà file này được cài và thực thi. Để làm được điều này, tìm đến log `Microsoft-Windows-Sysmon%4Operational.evtx` - **event ID 1 - Process Create**
Vào lúc **10:44:46** file này đã được tải về máy, cụ thể hơn sẽ được phân tích [phía dưới](#Event-ID-Sysmon-11). Đồng thời lúc **10:45:02** file này được chạy
Ngoài ra còn có các file khác để ta có thể xác định thời gian ví dụ như `ActivitiesCache.db`
```
/wb-ws-01/C/Users/ash.williams/AppData/Local/ConnectedDevicesPlatform/L.ash.williams/ActivitiesCache.db
```
Tuy nhiên `startTime` của `ActivitiesCache.db` thường thể hiện thời điểm hành động được ghi nhận — ví dụ mở ứng dụng, mở/preview file, hoặc tương tác với một item trên Windows Timeline — nhưng không phải lúc nào cũng chính xác là thời gian “file được mở” ở mức filesystem. Do đó nó sẽ lệch vài giây. Có thể tham khả thứ tự ưu tiên [tại đây](https://hackmd.io/@TwentySeV/SkGwNJfSyg)
### Event ID Sysmon 10
Để xem được các ứng dụng mà **Superstar_MemberCard.tiff.exe** cố gắng mở và truy cập process khác. Ta sẽ dùng log **event ID 10 - ProcessAccess**
```
chainsaw search -t "Event.System.EventID: =10" /home/kali/Desktop/wb-ws-01/C/Windows/System32/winevt/logs/Microsoft-Windows-Sysmon%4Operational.evtx | grep -i image > logs.txt
```
Lệnh dưới cho ta thấy có 7 events mà các process bị lợi dụng -> **LoLBins**
Danh sách file
Process | Count | Purpose
--|--|--
winscp.exe | 2| thực hiện file transfer, phân tích [bên dưới](#winscpexe)
gpresult.exe |1| hiển thị kết quả áp dụng Group Policy
outlook.exe |1| Lây lan như phân tích [bên dưới](#User-to-User-Spreading)
wmic.exe | 1|query hệ thống từ xa
**nltest.exe** |1| query và thu thập thông tin về Domain Controller
msmpeng.exe |1| sử dụng Windows Defender (có tehẻ đang muốn bypass AV)
### Event ID Sysmon 11
Ở phần [trên](#Event-ID-Sysmon-1) để chắc chắn hơn việc tải file từ firefox, **Event ID 11 - File Create** sẽ giúp ta
Ngoài ra tại event này cũng thấy có khoảng **30 files** được **Superstar_MemberCard.tiff.exe** tạo ra. Để dễ nhìn hơn, ta dùng `chainsaw`
```
chainsaw search -t "Event.System.EventID: =11" /home/kali/Desktop/wb-ws-01/C/Windows/System32/winevt/logs/Microsoft-Windows-Sysmon%4Operational.evtx | grep -i image > files.txt
```
Các file đều được tạo ở `Public Files`
Sử dụng grep để filter
```
cat logs.txt | grep 'Public File'
```
Trong đó **26 files** có định dạng `txt`, `docx`, `pdf`,.. chính là tài liệu mà **Superstar_MemberCard.tiff.exe** đang thu thập -> dạng mal stealer
### Event ID Sysmon 22
Vì **Superstar_MemberCard.tiff.exe** đã sử dụng `winscp.com` nên ta sẽ sử dụng **Event ID 22 - DNSEvent** để xem nó kết nối đến C2 nào vvì hành vi sử dụng tool để tranfer file
```
chainsaw search -t "Event.System.EventID: =22" /home/kali/Desktop/wb-ws-01/C/Windows/System32/winevt/logs/Microsoft-Windows-Sysmon%4Operational.evtx | grep -i image > files.txt
```
Đọc log và thấy nó đã kết nối đến **us.softradar.com**
Vẫn là một [IP hosting](#IP-Hosting)
### User-to-User Spreading
Vào lúc **10:47:51** **Superstar_MemberCard.tiff.exe** muốn lan rộng file này nên nó tự gửi mail đính kèm chính nó gửi đến người dùng khác
Với số lượng lên đến **58** người
Ngoài ra, tại phần `Draft` ta thấy được T.A đã lấy được credential AWS của nạn nhân do đó đuôi file tại mail này vẫn là **.ost** và key lộ ra là **AKIA52GPOBQCK73P2PXL,OFqG/yLZYaudty0Rma6arxVuHFTGQuM6St8SWySj**
### winscp.exe
> [winscp.exe](https://winscp.net/eng/docs/introduction) là tool hợp pháp, tiện lợi cho admin nhưng cũng rất hữu dụng cho attacker vì khả năng upload/download mã hoá, scripting, và hoạt động "hợp pháp" dễ né phát hiện
Để cố gắng che giấu tool này bị nghi ngờ T.A đã giấu nó tại thư mục **HelpDesk-Tools** như một công cụ của đội IT-HelpDesk
Đây chính là techique [Masquerading](https://attack.mitre.org/techniques/T1036/) trong Mitre mà T.A đã sử dụng
Sau khi có trung gian vận chuyển, **Superstar_MemberCard.tiff.exe** sẽ lấy data gửi lên winscp. Việc thao tác lệnh sẽ xuất hiện ở **event ID 1 - Process Create**
```
C:\Users\Public\HelpDesk-Tools\WinSCP.com" /script="C:\Users\Public\HelpDesk-Tools\maintenanceScript.txt
```
Sign in with Wallet
Connect another wallet