Youtube: DarkSide4x
Ось як ми можемо структурувати ваш пост на Medium для Advent of Cyber 2024, виклику Дня 1:
Advent of Cyber 2024: Виклик Дня 1 — Майстерність OPSEC в Purple Teaming
Привіт і ласкаво просимо до TryHackMe’s Advent of Cyber 2024! Цей щорічний захід пропонує 25 викликів з кібербезпеки для початківців, кожен з яких має унікальну сюжетну лінію. Ці завдання допомагають учням зануритись у захоплюючий світ кібербезпеки. Якщо ви зацікавлені, можете взяти участь тут: Advent of Cyber 2024. Крім того, є захоплюючий призовий фонд, що перевищує 100 000 доларів для удачливих учасників! 🎉
Опис виклику: OPSEC та Purple Teaming
Виклик сьогодні стосується операційної безпеки (OPSEC), критичного поняття в захисті чутливої інформації під час кібероперацій. Ось що ми маємо:
- Підозрілий сайт YouTube-to-MP3 converter.
- Файли, завантажені з платформи, що приховують зловмисні наміри.
- Зловмисний скрипт, який призначений для крадіжки чутливої інформації.
Основні навчальні цілі:
- Зрозуміти, як зловмисники маскують зловмисні файли.
- Аналізувати файли за допомогою криміналістичних інструментів.
- Навчитися відслідковувати зловмисну діяльність до її джерела.
Покрокова інструкція
Виклик починається з завантаження zip-архіву з цільового сайту. Після розпакування ми знаходимо файли з невідповідними іменами — це наша перша підказка. Давайте розглянемо це детальніше.
1. Визначення типу файлу
За допомогою команди $file:
song.mp3— це MP3 файл.somg.mp3, однак, це LNK файл (файл ярлика Windows).
⚠️ Увага: НЕ виконувати LNK файл на системі Windows! Він містить зловмисні команди PowerShell, здатні красти чутливі дані.
2. Витягування метаданих за допомогою exiftool
Запустивши exiftool somg.mp3, ми знаходимо посилання на GitHub, де зберігається зловмисний скрипт PowerShell.
Скрипт використовує змінні середовища для збору чутливих даних, таких як:
- Криптовалютні гаманці.
- Розширення браузера (з Chrome та Firefox).
Вкрадені дані відправляються на сервіс команд та управління (C2) зловмисника.
3. Дослідження зловмисного скрипту
Перехід за посиланням на GitHub відкриває сирцевий код PowerShell скрипта. Трасуючи його, ми визначаємо C2 сервер URL зловмисника і спостерігаємо його роботу.
4. OSINT на зловмисника
Ми помічаємо ім’я M.M в метаданих скрипта. Шукаючи цього користувача на GitHub, ми знаходимо його профіль і репозиторії. Тут ми знаходимо відповіді на більше питань виклику:
- Деталі репозиторію.
- Кількість комітів в репозиторії, що пов’язані з піднятою проблемою.
Ключові висновки
Цей виклик підкреслює важливість OPSEC та пильності:
- Завжди перевіряйте файли перед їх виконанням.
- Використовуйте ізольовані середовища, як віртуальні машини, для підозрілих файлів.
- Один зловмисний скрипт може скомпрометувати чутливі дані та призвести до атак.
Додаткове навчання
Цікавитесь вивченням OPSEC? Ознайомтесь з цим OPSEC TryHackMe Room. Укріплюйте свою безпеку, розуміючи стратегії зловмисників!
Заключні слова
Це був фантастичний початок для Advent of Cyber 2024! Слідкуйте за наступними захоплюючими викликами кожного дня, досліджуючи різноманітний і захоплюючий світ кібербезпеки. Не забудьте приєднатись до заходу тут, якщо ви ще цього не зробили.
Зв’язок зі мною
Не соромтесь підключатись до мене на моїх соціальних платформах:
🔗 Слідкуйте за моєю подорожжю в Instagram: @sakthivel_unknown
Перекладено з: Advent of Cyber 2024: Day 1 — Ds4x