Guia de resolucion IceID Lab¶

Esta guia esuna ayuda para la resolucion del laboratorio IceID de cuberdefenders, si bien te voy a ayudar a que encuentres las respuestas, no pretendo dartelas. Con esto ultimo aclarado ¡Manos a la obra!

Escenario¶

Se identificó un grupo de ciberamenaza por iniciar campañas de phishing a gran escala para distribuir cargas útiles maliciosas adicionales. Las cargas útiles más frecuentemente encontradas fueron IcedID. Se te ha proporcionado un hash de una muestra de IcedID con el propósito de analizar y monitorear las actividades de este grupo de amenaza persistente avanzada (APT).

Q1 - Nombre del archivo con el hash¶

Nos iremos a la pestaña Details, en la cual tendremos todos los detalles de este archivo. Si vamos un poco hacia abajo encontraremos un divisor con el nombre de Names, estos son todos los nombres que se descubrieron digamos, que pudo tener este archivo en cuestion.

Ice-1

Q2 - Nombre del archivo GIF desplegado¶

A esta respuesta llegue de diferentes maneras, la primera fue yendo a la pestaña Relations, una vez alli veremos en Contacted Urls varias urls, pero habiendo un archivo de tipo gif que se repite en varias de ellas.

Ice-2

La otra manera fue, bajando aun mas encontraremos una seccion con el nombre de Dropped Files, en donde, si buscamos bien, encontraremos un archivo .gif con una pequeña particularidad.

Ice-3

Q3 - Cantidad de dominios descargando el archivo GIF¶

Para esta pregunta solamente deberemos a ir a un apartado anterior, y contar la cantidad de dominios descargarian el archivo que averiguamos en la pregunta 2

Pssss => Fijate en donde conseguimos al principio el nombre del archivo.

Q4 - Hash MD5 del ejecutable descargado¶

Con esta pregunta tuve que hacer un poquito mas de busqueda (Voy a confesar que use un hint jaja). Bueno si hacemos una busqueda en la red social X, mas especificamente debemos ir a la siguiente publicacion de JRoosen, en la cual tendremos dos links en donde se hace un analisis mas profundo en plataformas como anyrun y triage.

Ice-4

En este caso ire a la plataforma de any run en donde obtendremos lo siguiente:

Ice-5 Ice-6

Q5 - Registrar utilizado por el actor de amenazas¶

Para resolver esta pregunta lo que debemos hacer es ir a los dominios asociados a este malware, cada dominio tiene que estar registrado a nombre de alguien, veremos uno en particular que coincide con el formato de la respuesta.

Ice-7

Q6 - Actor de amenazas relacionado¶

Para resolver esto usaremos el framework de MITRE ATT&CK, yo lo que hice fue buscar el nombre del malware para asi saber las APT que la usan. Obtuve los siguiente resultados.

Ice-8

Encontramos que hay dos APT relacionada con con el malware en cuestion

Ice-9

Q7 - Función utilizada para obtener payloads¶

Ahora lo que debemos encontrar es la funcion de la API de windows que usa el malware para descargar el resto de las payloads. Para iremos al link de triage que habiamos encontrado en X. Iremos hasta malware config, source y veremos que hay un codigo. Hay algo que se repita que te llame la atencion?

Te dejo un recurso para que veas cuales son las funciones mas usadas en malware MalAPI

Ice-10

Y con esto finalizamos este write up. Espero que te haya servido.