[CyberDefenders] Insider Blue Team Challenge

After Karen started working for 'TAAUSAI,' she began to do some illegal activities inside the company. 'TAAUSAI' hired you as a soc analyst to kick off an investigation on this case.

You acquired a disk image and found that Karen uses Linux OS on her machine. Analyze the disk image of Karen's computer and answer the provided questions.
1. What distribution of Linux is being used on this machine?

ftk imager에서 열어주고 boot 폴더에 있는 파일들을 보면 Linux 배포판의 종류가 나온다.

답 : kali

2.What is the MD5 hash of the apache access.log?

여기까지는 쉽다. Apache 폴더에 access.log 파일이 있으니 해쉬 추출을 해서 보면

MD5 해쉬가 나와있다.

flag : d41d8cd98f00b204e9800998ecf8427e

3.It is believed that a credential dumping tool was downloaded? What is the file name of the download?

download 되었다고 했으니 Download 폴더를 보자

대놓고 Dumping tool 이 있다.

답 : mimikatz_trunk.zip

4.There was a super-secret file created. What is the absolute path?

super-secre file의 경로를 찾는 문제이다. Documents 폴더에는 당연히 없었고

root 폴더에 bash_history파일에 SuperSecretFile.txt파일의 경로가 나와있었다.

답 : /root/Desktop/SuperSecretFile.txt

5.What program used didyouthinkwedmakeiteasy.jpg during execution?

방금 bash_history파일에 내려보면 didyouthinkwedmakeiteasy.jpg 에 프로그램이 나와있다.

답 : binwalk

6.What is the third goal from the checklist Karen created?

Desktop폴더에 Checklist파일에 보면 세번 째 항목에 답이 나와있다.

답 : profit

7.How many times was apache run?

apache를 몇번 가동했냐는 질문이니까 아까 apache폴더로 가서

access.log파일을 봤는데 Size를 보면 0이다.

답 : 0

8.It is believed this machine was used to attack another. What file proves this?

root 폴더에 수상한 jpg파일이 있는데 보면

malicious traffic이라고 하는거 보니 aylmao.exe프로세스를 공격하는 데 사용한 것 같다.

답 : irZLAohL.jpeg

9.Within the Documents file path, it is believed that Karen was taunting a fellow computer expert through a bash script. Who was Karen taunting?

Documents파일 경로라고 알려주고 있다.(이거 안보다가 bash_history만 찾고 있었다.)

 

이거 이름을 형용사로 봐서 계속 못찾았었다.

답 : Young

10.A user su'd to root at 11:26 multiple times. Who was it?

시간이 나와있어서 user.log파일과 저기 있는 폴더들에 log파일들을 찾아봤는데 없었다.

그러다가 auth.log라는 파일에서

해당 시간에 가보면 11시 26분에 루팅한 사용자의 이름이 나온다.

답 : postgres

11.Based on the bash history, what is the current working directory?

역시 bash history파일을 보랬으니 현재 작업 디렉토리를 찾을 수 있다.

마지막으로 cd 명령어를 사용한 디렉토리가 현재 작업 디렉토리일 것이다.

답 : /root/Documents/myfirsthack/